Värskelt tuvastatud pahavaraliik ModStealer on saanud märkimisväärseks ohuks brauseripõhistele krüptovaluuta rahakottidele, kasutades keerukaid segamistehnikaid, et mööda hiilida signatuuripõhistest viirusetõrjemeetoditest. Mosyle'i turvauurijad teatasid, et ModStealer on jäänud peaaegu kuu aega avastamata, samal ajal kui see ründab aktiivselt rahakoti laiendusi peamiste operatsioonisüsteemide, sealhulgas Windowsi, Linuxi ja macOS-i puhul.
ModStealeri peamine levitusmeetod hõlmab pahatahtlikke tööpakkumiste reklaame, mis meeldivad arendajaid nakkusega koormatud failide allalaadimisele. Kui pahavara käivitub, kasutab see tugevalt segatud NodeJS skripte, mis varjavad ära äratuntavad koodimustrid ja mööduvad traditsioonilistest viirusetõrje mootoritest. Käivitumine algab dünaamilise pakkimisest lahti võtmisega, mis taastab tuumiku väljavõtmismoduli mälus, minimeerides kettaruumi ja kohtueelsete kompromissimismärkide jälgi.
Kood sisaldab eelkonfigureeritud juhiseid 56 erineva brauseri rahakoti laienduse mandaadi otsimiseks ja väljavõtmiseks, sh populaarsed rahakotid, mis toetavad Bitcoini, Ethereumi, Solanat ja teisi suuremaid plokiahelaid. Privaatvõtmed, mandaadibaasid ja digitaalsed sertifikaadid kopeeritakse kohalikku ajutisse kataloogi, enne kui need krüptitud HTTPS-kanalite kaudu käsu- ja juhtimiserveritesse edastatakse. Lõikelaua kaaperdamise funktsioonid võimaldavad püüda rahakoti aadresse ja suunata varade ülekanded reaalajas ründaja kontrollitavatele aadressidele.
Mandaadavarguse kõrval toetab ModStealer valikuliselt süsteemi valetuvastust, ekraanipilte ja kaugkoodi täitmist. macOS-il kasutatakse implantatsiooniks LaunchAgents mehhanismi püsivuse saavutamiseks, samas kui Windowsi ja Linuxi variandid kasutavad ajastatud ülesandeid ja cron tööde vastavalt. Pahavara modulaarne arhitektuur võimaldab partneritel funktsionaalsust sihtkeskkonna ja soovitud koormuse võimaluste põhjal kohandada.
Mosyle analüütikud liigitavad ModStealeri Malware-as-a-Service'i, mis tähendab, et partneroperaatorid maksavad ligipääsu ehitus- ja juurutusinfrastruktuurile, langetades tehniliselt vähem pädevate ohtude aktorite sisenemistõkkeid. Sel aastal kasvanud infostealeri variatsioonide arv, mis on võrreldes 2024. aastaga tõusnud 28%, rõhutab krüptorahanduse ökosüsteemi kõrge väärtusega sihtmärkide vastu kasutatava pahavara kaupistatava olemuse suurenemist.
Turvameeskondade soovitatud leevendusstrateegiad hõlmavad rangete meilide ja veebifiltrite poliitikate rakendamist pahatahtlike reklaamivõrkude blokeerimiseks, käitumispõhiste ohu tuvastussüsteemide kasutuselevõttu ning usaldamatute NodeJS skriptide automaatkäivitamise keelamist. Brauserirahakottide kasutajatel soovitatakse kontrollida laienduste terviklikkust, hoida regulaarselt varukoopiaid offline-is hoitud seemnelause dokumentidest ning kaaluda riistvaralahendusi suurema väärtusega hoidluste jaoks.
Läbipaistmatute väljuvate ühenduste anomaalsete liiklusmustrite pidev jälgimine võib aidata varajastel andmete väljaviimise katsetel. Koostöö rahakoti arendajate, brauseritootjate ja turbefirmade vahel on vajalik, et välja töötada signatuuri- ja käitumispõhised tuvastussüsteemid, mis suudavad peatada ModStealeri segamiskihid ja takistada edasist rahakoti kompromiteerimist.
Kommentaarid (0)