Una nova soca de programari maliciós identificada anomenada ModStealer ha emergit com una amenaça significativa per a les carteres de criptomonedes basades en navegador, aprofitant tècniques sofisticades d’ocultació per evitar les defenses antivirus basades en signatures. Investigadors de seguretat de Mosyle han informat que ModStealer ha passat desapercebut durant gairebé un mes mentre atacava activament extensions de carteres a través dels principals sistemes operatius, incloent Windows, Linux i macOS.
El vector principal de distribució de ModStealer implica anuncis malintencionats de reclutament que enganyen desenvolupadors perquè descarreguin cà rregues malicioses infectades. Un cop executat, el programari maliciós utilitza scripts NodeJS fortament ofuscats que esquiven els motors antivirus tradicionals amagant patrons de codi reconeixibles. L’execució comença amb rutines d’extracció dinà miques que reconstrueixen el mòdul central d’exfiltració a la memòria, minimitzant l’empremta al disc i els indicadors forenses de compromÃs.
El codi inclou instruccions preconfigurades per cercar i extreure credencials de 56 extensions diferents de carteres per navegador, incloent carteres populars que suporten Bitcoin, Ethereum, Solana i altres cadenes de blocs importants. Les claus privades, bases de dades de credencials i certificats digitals es copien a un directori local d’emplaçament abans de ser exfiltrats als servidors de comandament i control mitjançant canals HTTPS xifrats. Les funcions d’assetjament del porta-retalls permeten la interceptació d’adreces de carteres, redirigint les transferències d’actius a adreces controlades pels atacants en temps real.
Més enllà del robatori de credencials, ModStealer suporta mòduls opcionals per al reconeixement del sistema, captura de pantalla i execució remota de codi. A macOS, la implantació aprofita el mecanisme LaunchAgents per assolir persistència, mentre que les variants per a Windows i Linux utilitzen tasques programades i treballs cron, respectivament. L’arquitectura modular del programari maliciós permet als afiliats personalitzar la funcionalitat segons l’entorn objectiu i les capacitats desitjades de la cà rrega.
Els analistes de Mosyle classifiquen ModStealer com a Malware-com-a-Servei, indicant que els operadors afiliats paguen per accedir a la infraestructura de construcció i desplegament, abaixant la barrera d’entrada per a actors amenaçadors menys tècnicament qualificats. L’augment de variants d’infostealers aquest any, un 28 % més respecte a 2024, ressalta una tendència creixent de programari maliciós comodatitzat utilitzat contra objectius d’alt valor a l’ecosistema criptogrà fic.
Les estratègies de mitigació recomanades pels equips de seguretat inclouen la imposició de polÃtiques estrictes de filtratge de correu electrònic i web per bloquejar xarxes d’anuncis maliciosos, el desplegament de solucions de detecció d’amenaces basades en el comportament i la desactivació de l’execució automà tica d’scripts NodeJS no confiables. Es recomana als usuaris de carteres per navegador que verifiquin la integritat de les extensions, mantinguin còpies de seguretat actualitzades de les frases semilla emmagatzemades fora de lÃnia i considerin solucions de cartera de maquinari per a possessions de gran valor.
La monitorització contÃnua dels patrons de trà nsit per detectar connexions d’entrada anòmales a dominis desconeguts pot ajudar en la detecció precoç d’intents d’exfiltració de dades. La coordinació entre desenvolupadors de carteres, proveïdors de navegador i empreses de seguretat serà essencial per desenvolupar signatures basades en comportament i signatura capaces d’interceptar les capes d’ocultació de ModStealer i prevenir noves compromissions de carteres.
Comentaris (0)