Μια νεοανακαλυφθείσα μορφή κακόβουλου λογισμικού με το όνομα ModStealer έχει εμφανιστεί ως σημαντική απειλή για πορτοφόλια κρυπτονομισμάτων που βασίζονται σε προγράμματα περιήγησης, αξιοποιώντας εξελιγμένες τεχνικές παραποίησης για να παρακάμψει τις άμυνες antivirus που βασίζονται σε υπογραφές. Οι ερευνητές ασφαλείας στη Mosyle ανέφεραν ότι το ModStealer παρέμεινε αδιάγνωστο σχεδόν έναν μήνα ενώ στόχευε ενεργά επεκτάσεις πορτοφολιών σε κύρια λειτουργικά συστήματα, όπως Windows, Linux και macOS.
Ο βασικός τρόπος διανομής του ModStealer περιλαμβάνει κακόβουλες αγγελίες στρατολόγησης εργασίας που προσελκύουν προγραμματιστές να κατεβάσουν μολυσμένα προγράμματα. Μόλις εκτελεστεί, το κακόβουλο λογισμικό χρησιμοποιεί έντονα παραποιημένα σενάρια NodeJS που αποφεύγουν τις παραδοσιακές μηχανές antivirus κρύβοντας αναγνωρίσιμα πρότυπα κώδικα. Η εκτέλεση ξεκινά με δυναμικές ρουτίνες αποσυσκευασίας που ανακατασκευάζουν τον βασικό πυρήνα εξαγωγής στη μνήμη, μειώνοντας το αποτύπωμα στο δίσκο και τους εγκληματολογικούς δείκτες συμβιβασμού.
Ο κώδικας περιλαμβάνει προρυθμισμένες εντολές για αναζήτηση και εξαγωγή διαπιστευτηρίων από 56 διαφορετικές επεκτάσεις πορτοφολιών προγραμμάτων περιήγησης, συμπεριλαμβανομένων δημοφιλών πορτοφολιών που υποστηρίζουν Bitcoin, Ethereum, Solana και άλλα μεγάλα blockchain. Τα ιδιωτικά κλειδιά, οι βάσεις δεδομένων διαπιστευτηρίων και τα ψηφιακά πιστοποιητικά αντιγράφονται σε τοπικό φάκελο προετοιμασίας πριν εξαχθούν σε διακομιστές command-and-control μέσω κρυπτογραφημένων καναλιών HTTPS. Οι λειτουργίες υποκλοπής πρόχειρου επιτρέπουν την αναχαίτιση διευθύνσεων πορτοφολιού, ανακατευθύνοντας τη μεταφορά περιουσιακών στοιχείων σε διευθύνσεις που ελέγχονται από επιτιθέμενους σε πραγματικό χρόνο.
Πέρα από την κλοπή διαπιστευτηρίων, το ModStealer υποστηρίζει προαιρετικά μονάδες για αναγνώριση συστήματος, σύλληψη οθόνης και απομακρυσμένη εκτέλεση κώδικα. Σε macOS, η εγκατάσταση αξιοποιεί τον μηχανισμό LaunchAgents για επίτευξη επιμονής, ενώ οι παραλλαγές για Windows και Linux χρησιμοποιούν αντίστοιχα προγραμματισμένα καθήκοντα και εργασίες cron. Η αρθρωτή αρχιτεκτονική του κακόβουλου λογισμικού επιτρέπει στους συνεργάτες να προσαρμόζουν τη λειτουργικότητα με βάση το περιβάλλον στόχο και τις επιθυμητές δυνατότητες του payload.
Οι αναλυτές της Mosyle ταξινομούν το ModStealer ως Malware-as-a-Service, υποδεικνύοντας ότι οι χειριστές συνεργάτες πληρώνουν για πρόσβαση σε υποδομές κατασκευής και ανάπτυξης, μειώνοντας το εμπόδιο εισόδου για απειλές με λιγότερη τεχνική γνώση. Η αύξηση των παραλλαγών infostealer φέτος, κατά 28% σε σύγκριση με το 2024, τονίζει την αυξανόμενη τάση εμπορευματοποιημένου κακόβουλου λογισμικού που χρησιμοποιείται εναντίον πολύτιμων στόχων στο οικοσύστημα κρυπτονομισμάτων.
Οι στρατηγικές μετριασμού που συνιστώνται από τις ομάδες ασφαλείας περιλαμβάνουν την επιβολή αυστηρών πολιτικών φιλτραρίσματος email και διαδικτύου για την αποκλεισμό κακόβουλων διαφημιστικών δικτύων, την ανάπτυξη λύσεων ανίχνευσης απειλών που βασίζονται στη συμπεριφορά και την απενεργοποίηση της αυτόματης εκτέλεσης μη αξιόπιστων σεναρίων NodeJS. Οι χρήστες πορτοφολιών προγράμματος περιήγησης συνιστάται να επαληθεύουν την ακεραιότητα των επεκτάσεων, να διατηρούν ενημερωμένα αντίγραφα ασφαλείας των φράσεων σπόρου που αποθηκεύονται εκτός σύνδεσης και να εξετάζουν λύσεις υλισμικού πορτοφολιού για σημαντικά ποσά.
Η συνεχής παρακολούθηση των προτύπων κυκλοφορίας για ανώμαλες εξερχόμενες συνδέσεις προς άγνωστους τομείς μπορεί να βοηθήσει στην έγκαιρη ανίχνευση προσπαθειών εξαγωγής δεδομένων. Ο συντονισμός μεταξύ προγραμματιστών πορτοφολιών, προμηθευτών προγραμμάτων περιήγησης και εταιρειών ασφαλείας θα είναι ουσιώδης για την ανάπτυξη υπογραφών βάσει υπογραφών και συμπεριφοράς που να μπορούν να αναχαιτίσουν τα επίπεδα παραποίησης του ModStealer και να αποτρέψουν περαιτέρω συμβιβασμό πορτοφολιών.
Σχόλια (0)