Una nueva cepa de malware identificada llamada ModStealer ha emergido como una amenaza significativa para las carteras de criptomonedas basadas en navegador, utilizando técnicas sofisticadas de ofuscación para evadir las defensas antivirus basadas en firmas. Investigadores de seguridad en Mosyle informaron que ModStealer ha permanecido indetectado durante casi un mes mientras atacaba activamente extensiones de carteras en los principales sistemas operativos, incluidos Windows, Linux y macOS.
El vector principal de distribución de ModStealer implica anuncios maliciosos de reclutamiento laboral que atraen a desarrolladores a descargar cargas útiles infectadas. Una vez ejecutado, el malware emplea scripts de NodeJS fuertemente ofuscados que eluden los motores antivirus tradicionales ocultando patrones de código reconocibles. La ejecución comienza con rutinas dinámicas de desempaquetado que reconstruyen el módulo central de exfiltración en la memoria, minimizando la huella en disco y los indicadores forenses de compromiso.
El código incluye instrucciones preconfiguradas para buscar y extraer credenciales de 56 extensiones diferentes de carteras de navegador, incluyendo carteras populares que soportan Bitcoin, Ethereum, Solana y otras cadenas de bloques importantes. Las claves privadas, bases de datos de credenciales y certificados digitales son copiados a un directorio local de preparación antes de ser exfiltrados a servidores de comando y control a través de canales HTTPS cifrados. Las funciones de secuestro del portapapeles permiten interceptar direcciones de carteras, redirigiendo las transferencias de activos a direcciones controladas por el atacante en tiempo real.
Más allá del robo de credenciales, ModStealer soporta módulos opcionales para reconocimiento del sistema, captura de pantalla y ejecución remota de código. En macOS, la implantación aprovecha el mecanismo LaunchAgents para lograr persistencia, mientras que las variantes de Windows y Linux utilizan tareas programadas y trabajos cron, respectivamente. La arquitectura modular del malware permite a los afiliados personalizar la funcionalidad según el entorno objetivo y las capacidades deseadas de la carga útil.
Los analistas de Mosyle clasifican a ModStealer como Malware como Servicio, indicando que los operadores afiliados pagan por acceso a la infraestructura de construcción y despliegue, reduciendo la barrera de entrada para actores de amenazas con menos conocimientos técnicos. El aumento de variantes de infostealers este año, un 28% comparado con 2024, subraya una tendencia creciente de malware comoditizado utilizado contra objetivos de alto valor en el ecosistema de criptomonedas.
Las estrategias de mitigación recomendadas por los equipos de seguridad incluyen reforzar polÃticas estrictas de filtrado de correo electrónico y web para bloquear redes publicitarias maliciosas, desplegar soluciones de detección de amenazas basadas en el comportamiento y deshabilitar la autoejecución de scripts NodeJS no confiables. Se aconseja a los usuarios de carteras de navegador verificar la integridad de las extensiones, mantener copias de seguridad actualizadas de las frases semilla almacenadas offline, y considerar soluciones de carteras hardware para tenencias de alto valor.
El monitoreo continuo de los patrones de tráfico para conexiones salientes anómalas hacia dominios desconocidos puede ayudar en la detección temprana de intentos de exfiltración de datos. La coordinación entre desarrolladores de carteras, proveedores de navegadores y firmas de seguridad será esencial para desarrollar firmas basadas en firmas y comportamientos capaces de interceptar las capas de ofuscación de ModStealer y prevenir compromisos adicionales de carteras.
Comentarios (0)