Yeni müəyyən edilmiş ModStealer adlı zərərli proqram növü, imza əsaslı antivirus müdafiələrini keçmək üçün mürəkkəb gizlətmə texnikalarından istifadə edərək, brauzer əsaslı kriptovalyuta cüzdanları üçün əhəmiyyətli bir təhdid kimi ortaya çıxıb. Mosyle təhlükəsizlik tədqiqatçıları bildiriblər ki, ModStealer əsas əməliyyat sistemləri olan Windows, Linux və macOS-da aktiv şəkildə cüzdan əlavələrini hədəf alaraq təxminən bir ay ərzində aşkar edilməyib.
ModStealer-in əsas yayılma üsulu, inkişafçılar paylaşmaq üçün yoluxmuş faylları yükləməyə cəlb edən zərərli iş elanlarından ibarətdir. İcra edildikdə, zərərli proqram ənənəvi antivirus mühərriklərindən gizlənmək üçün çox gizlədilmiş NodeJS skriptlərindən istifadə edir və tanınan kod nümunələrini gizlədir. İcra dinamik açma rutinləri ilə başlayır və yaddaşda əsas məlumat çıxarma modulunu yenidən quraraq disqdəki izləri və kompromis indikatorlarını minimuma endirir.
Kod 56 müxtəlif brauzer cüzdan əlavələrindən, o cümlədən Bitcoin, Ethereum, Solana və digər əsas blokzəncirləri dəstəkləyən populyar cüzdanlardan məlumat axtarmaq və çıxarmaq üçün əvvəlcədən konfiqurasiya edilmiş təlimatları ehtiva edir. Şəxsi açarlar, identifikasiya məlumatları bazaları və rəqəmsal sertifikatlar yerli müvəqqəti qovluğa kopyalanır və sonra şifrələnmiş HTTPS kanalları vasitəsilə komanda və idarəetmə serverlərinə çıxarılır. Clipboard oğurlama funksiyaları isə cüzdan ünvanlarının tutulmasını təmin edərək aktiv şəkildə aktivator tərəfindən idarə olunan ünvanlara aktiv köçürmələri yönəldir.
Şəxsi məlumat oğurluğundan əlavə, ModStealer sistem kəşfi, ekran görüntüsü və uzaqdan kod icrası üçün əlavə modulları dəstəkləyir. macOS-da implantasiya davamlılığı təmin etmək üçün LaunchAgents mexanizmindən istifadə edir, Windows və Linux variantlarında isə müvafiq olaraq planlaşdırılmış tapşırıqlar və cron işləri istifadə olunur. Zərərli proqramın modul arxitekturası affiliate operatorlarına hədəf mühitə və tələb olunan faydalara əsasən funksionallığı fərdiləşdirməyə imkan verir.
Mosyle təhlilçiləri ModStealer-i Məsləhət Proqramı kimi təsnif edir, bu da affiliate operatorlarının quruluş və yerləşdirmə infrastrukturuna çıxış üçün ödəniş etdiyini, texniki bacarıqları az olan təhdid aktorları üçün girişdə baryeri azaltdığını göstərir. Bu ilki informasiya oğrusu variantlarının 2024-ə nisbətən 28% artması, kriptovalyuta ekosistemində yüksək dəyərli hədəflərə qarşı istifadə olunan ticarət əsaslı zərərli proqramların artan tendensiyasını vurğulayır.
Təhlükəsizlik komandalarının tövsiyə etdiyi azaldılma strategiyalarına zərərli reklam şəbəkələrini bloklamaq üçün sərt e-poçt və veb filtrləmə siyasətlərinin tətbiqi, davranış əsaslı təhdid aşkarlama həllərinin yerləşdirilməsi və etibarlı olmayan NodeJS skriptlərinin avtomatik icrasının deaktiv olunması daxildir. Brauzer cüzdanı istifadəçilərinə əlavələrin bütövlüyünü yoxlamaq, seed ifadələrinin offline saxlanılan aktual ehtiyat nüsxələrini saxlamaq və yüksək dəyərli vəsaitlər üçün hardware cüzdan həllərini nəzərdən keçirmək tövsiyə olunur.
Anormal qeyri-məlum domenlərə outbound əlaqələr üçün trafik nümunələrinin davamlı monitorinqi məlumat oğurluğu cəhdlərinin erkən aşkarlanmasına kömək edə bilər. Cüzdan inkişafçıları, brauzer tədarükçüləri və təhlükəsizlik firmaları arasında koordinasiya, ModStealer-in gizlətmə qatlarını aşkar edə və əlavə cüzdan kompromisini əngəlləyə bilən imza və davranış əsaslı imzaların hazırlanması üçün vacib olacaqdır.
Şərhlər (0)