Ein neu identifizierter Schadsoftware-Stamm namens ModStealer hat sich als erhebliche Bedrohung für browserbasierte Kryptowährungs-Wallets herauskristallisiert und nutzt ausgeklügelte Verschleierungstechniken, um signaturbasierte Antivirus-Abwehrmechanismen zu umgehen. Sicherheitsexperten bei Mosyle berichteten, dass ModStealer fast einen Monat lang unentdeckt blieb, während er aktiv Wallet-Erweiterungen auf wichtigen Betriebssystemen wie Windows, Linux und macOS angriff.
Der Hauptverbreitungsvektor von ModStealer sind bösartige Stellenanzeigen, die Entwickler dazu verleiten, infizierte Nutzlasten herunterzuladen. Nach der Ausführung verwendet die Schadsoftware stark verschleierte NodeJS-Skripte, die herkömmlichen Antivirus-Engines durch das Verbergen erkennbarer Code-Muster entgehen. Die Ausführung beginnt mit dynamischen Entpackungsroutinen, die das zentrale Exfiltrationsmodul im Speicher rekonstruieren, um den Festplatten-Fußabdruck und forensische Kompromittierungsindikatoren zu minimieren.
Der Code enthält vorgefertigte Anweisungen zur Suche und Extraktion von Zugangsdaten aus 56 verschiedenen Browser-Wallet-Erweiterungen, darunter beliebte Wallets für Bitcoin, Ethereum, Solana und andere führende Blockchains. Private Schlüssel, Zugangsdatenbanken und digitale Zertifikate werden in ein lokales Staging-Verzeichnis kopiert, bevor sie über verschlüsselte HTTPS-Kanäle an Command-and-Control-Server exfiltriert werden. Funktionen zum Abgreifen der Zwischenablage ermöglichen die Abfange von Wallet-Adressen und leiten Asset-Transfers in Echtzeit an von Angreifern kontrollierte Adressen um.
Über den Diebstahl von Zugangsdaten hinaus unterstützt ModStealer optionale Module für Systemerkundung, Bildschirmaufnahme und Remote-Code-Ausführung. Auf macOS nutzt die Implantation den LaunchAgents-Mechanismus zur Erreichung von Persistenz, während Windows- und Linux-Varianten geplante Aufgaben bzw. Cron-Jobs verwenden. Die modulare Architektur der Schadsoftware ermöglicht es Affiliates, die Funktionalität basierend auf der Zielumgebung und den gewünschten Nutzlastfähigkeiten anzupassen.
Mosyle-Analysten klassifizieren ModStealer als Malware-as-a-Service, was bedeutet, dass Affiliate-Betreiber für den Zugriff auf Aufbau- und Bereitstellungsinfrastruktur zahlen, wodurch die Einstiegshürde für technisch weniger versierte Bedrohungsakteure gesenkt wird. Der Anstieg der Infostealer-Varianten in diesem Jahr um 28 % im Vergleich zu 2024 unterstreicht einen wachsenden Trend, bei dem standardisierte Schadsoftware gegen hochrangige Ziele im Kryptowährungs-Ökosystem eingesetzt wird.
Von Sicherheitsteams empfohlene Minderungsstrategien umfassen die Durchsetzung strenger E-Mail- und Webfilterrichtlinien zur Blockierung bösartiger Werbenetzwerke, den Einsatz verhaltensbasierter Bedrohungserkennungslösungen sowie das Deaktivieren der automatischen Ausführung von nicht vertrauenswürdigen NodeJS-Skripten. Nutzern von Browser-Wallets wird geraten, die Integrität der Erweiterungen zu überprüfen, aktuell gehaltene Backups der offline gespeicherten Seed-Phrasen zu pflegen und Hardware-Wallet-Lösungen für größere Vermögenswerte in Betracht zu ziehen.
Die fortlaufende Überwachung von Verkehrsmustern auf anomale ausgehende Verbindungen zu unbekannten Domains kann zur frühzeitigen Erkennung von Datenexfiltrationsversuchen beitragen. Die Koordination zwischen Wallet-Entwicklern, Browser-Herstellern und Sicherheitsfirmen wird entscheidend sein, um signatur- und verhaltensbasierte Signaturen zu entwickeln, die ModStealers Verschleierungsebenen abfangen und weitere Wallet-Kompromittierungen verhindern können.
Kommentare (0)