זן חדש של תוכנה זדונית בשם ModStealer התגלה כאיום משמעותי על ארנקים מבוססי דפדפן למטבעות קריפטוגרפיים, המשתמש בטכניקות הסוואה מתוחכמות לעקיפת מערכות אנטיוירוס מבוססות חתימות. חוקרי אבטחה ב-Mosyle דיווחו כי ModStealer נותר בלתי מזוהה למשך כמעט חודש בזמן שתקף באופן פעיל תוספי ארנקים במערכות הפעלה מרכזיות, כולל Windows, Linux ו-macOS.
הווקטור העיקרי להפצת ModStealer כולל מודעות דרושים זדוניות שמפתות מפתחים להורדת מטענים נגועים. לאחר ההפעלה, התוכנה הזדונית משתמשת בסקריפטים heavily obfuscated של NodeJS שמתחמקים ממנועי אנטיוירוס מסורתיים על ידי הסתרת דפוסי קוד מוכרים. ההפעלה מתחילה עם רוטינות פתיחה דינמיות שמרכיבות מחדש את מודול ההוצאה למעט זיכרון, וממזערות את טביעת הרגל בדיסק ואת סימני החקירה הפלילית.
הקוד כולל הוראות מוכנות מראש לחיפוש והוצאה של אישורי גישה מ-56 תוספי ארנקי דפדפן שונים, כולל ארנקים פופולריים התומכים בביטקוין, את'ריום, סולנה ובלוקצ'יינים מרכזיים אחרים. מפתחות פרטיים, מאגרי אישורים ותעודות דיגיטליות מועתקים אל תיקיית איסוף מקומית לפני שנשלחים לשרתי פיקוד ושליטה באמצעות ערוצי HTTPS מוצפנים. פונקציות חטיפת לוח הגזירים מאפשרות יירוט כתובות ארנק ולהפנות העברות נכסים לכתובות שנשלטות על ידי התוקפים בזמן אמת.
מעבר לגניבת אישורים, ModStealer תומך במודולים אופציונליים לסיור מערכת, צילום מסך, והרצת קוד מרחוק. ב-macOS, ההחדרה משתמשת במנגנון LaunchAgents כדי להשיג התעקשות, בעוד בגרסאות Windows ו-Linux נעשה שימוש במשימות מתוזמנות ו-Cron Jobs, בהתאמה. הארכיטקטורה המודולרית של התוכנה הזדונית מאפשרת לשותפים להתאים את הפונקציונליות על בסיס סביבת היעד והיכולות המבוקשות של המטען.
אנליסטים ב-Mosyle מסווגים את ModStealer כשירות-כתוכנה זדונית, מה שמעיד כי מפעילים משותפים משלמים עבור גישה לתשתיות בנייה והפצה, ומורידים את סף הכניסה לפועלי איומים עם יכולות טכניות נמוכות יותר. העלייה של 28% במגוון ה-infostealer השנה לעומת 2024 מדגישה מגמה גוברת של תוכנות זדוניות מסחריות המשמשות כנגד מטרות בעלות ערך גבוה במערכת האקולוגית של המטבעות הקריפטוגרפיים.
אסטרטגיות הפחתה שהומלצו על ידי צוותי אבטחה כוללות אכיפת מדיניות סינון קפדנית בדואר אלקטרוני ובאתרים לחסימת רשתות פרסום זדוניות, פריסת פתרונות זיהוי איומים מבוססי התנהגות, והשבתת הרצה אוטומטית של סקריפטים לא מהימנים של NodeJS. משתמשי ארנקים בדפדפן מומלצים לוודא את שלמות התוספים, לשמור גיבויים מעודכנים של ביטויי הזרע באחסון לא מקוון, ולשקול פתרונות החומרה לארנקים להחזקת ערכיות גבוהה.
מעקב מתמשך אחר דפוסי תנועה של חיבורים יוצאים חריגים לדומיינים לא מוכרים יכול לסייע בגילוי מוקדם של ניסיונות הוצאת מידע. שיתוף פעולה בין מפתחי הארנקים, ספקי הדפדפנים וחברות האבטחה יהיה חיוני לפיתוח חתימות מבוססות חתימה וההתנהגות המסוגלות ליירט את שכבות ההסוואה של ModStealer ולמנוע פגיעה נוספת בארנקים.
תגובות (0)