Une nouvelle souche de malware nommée ModStealer est apparue comme une menace significative pour les portefeuilles de cryptomonnaies basés sur les navigateurs, utilisant des techniques sophistiquées d'obfuscation pour contourner les défenses antivirus basées sur des signatures. Les chercheurs en sécurité de Mosyle ont signalé que ModStealer est resté indétecté pendant près d'un mois tout en ciblant activement des extensions de portefeuilles sur les principaux systèmes d'exploitation, notamment Windows, Linux et macOS.
Le principal vecteur de distribution de ModStealer implique des annonces d'emploi malveillantes qui attirent les développeurs à télécharger des charges utiles infectées. Une fois exécuté, le malware utilise des scripts NodeJS fortement obfusqués qui échappent aux moteurs antivirus traditionnels en dissimulant des motifs de code reconnaissables. L'exécution commence par des routines de dépaquetage dynamique qui reconstruisent le module central d'exfiltration en mémoire, minimisant l'empreinte disque et les indicateurs médico-légaux de compromission.
Le code inclut des instructions préconfigurées pour rechercher et extraire des identifiants de 56 extensions de portefeuille de navigateur distinctes, y compris des portefeuilles populaires prenant en charge Bitcoin, Ethereum, Solana et d'autres blockchains majeures. Les clés privées, bases de données d'identifiants et certificats numériques sont copiés dans un répertoire local avant d'être exfiltrés vers des serveurs de commande et contrôle via des canaux HTTPS chiffrés. Les fonctions de détournement du presse-papiers permettent d'intercepter les adresses de portefeuille, redirigeant en temps réel les transferts d'actifs vers des adresses contrôlées par les attaquants.
Au-delà du vol d'identifiants, ModStealer supporte des modules optionnels pour la reconnaissance système, la capture d'écran et l'exécution de code à distance. Sur macOS, l'implantation utilise le mécanisme LaunchAgents pour assurer la persistance, tandis que les variantes Windows et Linux utilisent respectivement des tâches planifiées et des tâches cron. L'architecture modulaire du malware permet aux affiliés d'adapter les fonctionnalités en fonction de l'environnement cible et des capacités souhaitées de la charge utile.
Les analystes de Mosyle classifient ModStealer comme un Malware en tant que Service (MaaS), indiquant que les opérateurs affiliés paient pour l'accès à l'infrastructure de construction et de déploiement, abaissant la barrière d'entrée pour les acteurs de menace moins techniquement compétents. La hausse des variantes d'infostealers cette année, en hausse de 28 % par rapport à 2024, souligne une tendance croissante à la commercialisation des malwares utilisés contre des cibles de grande valeur dans l'écosystème des cryptomonnaies.
Les stratégies d'atténuation recommandées par les équipes de sécurité incluent l'application de politiques strictes de filtrage des emails et du web pour bloquer les réseaux publicitaires malveillants, le déploiement de solutions de détection des menaces basées sur le comportement et la désactivation de l'exécution automatique des scripts NodeJS non fiables. Il est conseillé aux utilisateurs de portefeuilles de navigateur de vérifier l'intégrité des extensions, de maintenir des sauvegardes à jour des phrases de récupération stockées hors ligne et d'envisager des solutions de portefeuilles matériels pour les fonds de grande valeur.
La surveillance continue des modèles de trafic pour détecter des connexions sortantes anormales vers des domaines inconnus peut aider à la détection précoce des tentatives d'exfiltration de données. La coordination entre développeurs de portefeuilles, fournisseurs de navigateurs et entreprises de sécurité sera essentielle pour développer des signatures basées sur le comportement et la détection par signature capables d'intercepter les couches d'obfuscation de ModStealer et d'empêcher toute compromission supplémentaire des portefeuilles.
Commentaires (0)