Nově identifikovaný škodlivý software nazvaný ModStealer se stal významnou hrozbou pro kryptoměnové peněženky založené na prohlížeči, využívající pokročilé techniky maskování k obcházení antivirových obran založených na signaturách. Bezpečnostní výzkumníci z Mosyle uvedli, že ModStealer zůstal téměř měsíc neodhalený, přičemž aktivně cíloval rozšíření peněženek napříč hlavními operačními systémy, včetně Windows, Linuxu a macOS.
Hlavním distribučním kanálem ModStealeru jsou škodlivé inzeráty na pracovní pozice, které lákají vývojáře ke stažení infikovaných payloadů. Po spuštění malware používá silně zamaskované skripty NodeJS, které obcházejí tradiční antivirové motory tím, že skrývají rozpoznatelné vzory kódu. Spuštění začíná dynamickými rutinami rozbalování, které rekonstruují hlavní modul exfiltrace v paměti, čímž minimalizují stopu na disku a forenzní indikátory kompromitace.
Kód obsahuje předkonfigurované instrukce k vyhledávání a extrakci přihlašovacích údajů z 56 různých rozšíření peněženek prohlížeče, včetně populárních peněženek podporujících Bitcoin, Ethereum, Solanu a další hlavní blockchainy. Soukromé klíče, databáze přihlašovacích údajů a digitální certifikáty jsou kopírovány do místního dočasného adresáře, než jsou exfiltrány na řídicí servery pomocí šifrovaných kanálů HTTPS. Funkce hijackingu schránky umožňují zachytávání adres peněženek a přesměrování převodů aktiv na adresy ovládané útočníky v reálném čase.
Kromě krádeže přihlašovacích údajů ModStealer podporuje volitelné moduly pro průzkum systému, snímání obrazovky a vzdálené provádění kódu. Na macOS využívá implantaci mechanismus LaunchAgents k dosažení perzistence, zatímco varianty pro Windows a Linux používají naplánované úlohy a cron joby. Modulární architektura malware umožňuje partnerům přizpůsobit funkčnost podle cílového prostředí a požadovaných schopností payloadu.
Analytici Mosyle klasifikují ModStealer jako Malware-as-a-Service, což znamená, že provozovatelé partnerů platí za přístup k infrastruktuře pro tvorbu a nasazení, čímž snižují bariéru vstupu pro méně technicky zdatné hrozby. Nárůst variant infostealerů letos o 28 % ve srovnání s rokem 2024 podtrhuje rostoucí trend komoditizovaného malware používaného proti vysoce hodnotným cílům v kryptoměnovém ekosystému.
Strategie zmírnění doporučované bezpečnostními týmy zahrnují prosazování přísných politik filtrování e-mailů a webu k blokování škodlivých reklamních sítí, nasazení řešení detekce hrozeb založených na chování a deaktivaci automatického spouštění nedůvěryhodných skriptů NodeJS. Uživatelům peněženek v prohlížeči se doporučuje ověřovat integritu rozšíření, udržovat aktuální zálohy seed frází uložených offline a zvážit používání hardwarových peněženek pro držby s velkou hodnotou.
Průběžné sledování vzorů provozu na neobvyklá odchozí připojení k neznámým doménám může pomoci při včasné detekci pokusů o exfiltraci dat. Koordinace mezi vývojáři peněženek, výrobci prohlížečů a bezpečnostními firmami bude nezbytná pro vývoj signatur založených na signálech i chování, schopných zachytit obfuskační vrstvy ModStealeru a zabránit dalšímu kompromitování peněženek.
Komentáře (0)