Egy újonnan azonosított rosszindulatú program, a ModStealer jelentős fenyegetést jelent a böngészőalapú kriptopénztárcák számára, kifinomult elrejtési technikákat alkalmazva, hogy megkerülje az aláírásalapú antivírus védelmet. A Mosyle biztonsági kutatói jelentették, hogy a ModStealer több mint egy hónapig észrevétlen maradt, miközben aktívan célozta meg a tárca-bővítményeket a főbb operációs rendszereken, beleértve a Windowst, Linuxot és macOS-t.
A ModStealer elsődleges terjesztési módja rosszindulatú álláshirdetések, amelyek fejlesztőket csábítanak fertőzött payloadok letöltésére. A végrehajtás után a malware erősen elrejtett NodeJS szkripteket alkalmaz, amelyek elkerülik a hagyományos antivírus motorokat azáltal, hogy elrejtik a felismerhető kódmintákat. A végrehajtás dinamikus kicsomagoló rutinokkal kezdődik, amelyek memóriában állítják helyre a mag-exfiltrációs modult, minimalizálva a lemezen hagyott nyomokat és a bizonyítékokat.
A kód előre konfigurált utasításokat tartalmaz, hogy 56 különböző böngésző tárca-bővítményt keressen és onnan hitelesítő adatokat nyerjen ki, beleértve a népszerű tárcákat, amelyek támogatják a Bitcoint, Ethert, Solanát és más főbb blokkláncokat. A privát kulcsokat, hitelesítő adatbázisokat és digitális tanúsítványokat helyi munkakönyvtárba másolják ki, majd titkosított HTTPS csatornákon keresztül továbbítják a parancs- és vezérlőszervereknek. A vágólap eltérítő funkciók engedélyezik a tárcacímlisták elfogását, valós időben átirányítva az eszközátutalásokat támadó által kontrollált címekre.
A hitelesítő adatlopáson túl a ModStealer opcionális modulokat támogat rendszerfelderítésre, képernyőképek készítésére és távoli kódfuttatásra. macOS-en az implantáció a LaunchAgents mechanizmust használja az állandóság eléréséhez, míg Windows és Linux verziók ütemezett feladatokat, illetve cron munkákat alkalmaznak. A malware moduláris felépítése lehetővé teszi az együttműködő partnerek számára a funkcionalitás célzott testreszabását a célkörnyezettől és a kívánt payload képességektől függően.
A Mosyle elemzői a ModStealert Malware-as-a-Service-ként kategorizálják, ami azt jelzi, hogy az együttműködő üzemeltetők fizetnek a hozzáférésért a fejlesztési és telepítési infrastruktúrához, csökkentve a belépési küszöböt a kevésbé technikailag képzett fenyegető szereplők számára. Az idén 28%-kal növekedett infostealer variánsok száma 2024-hez képest egy növekvő trendet jelez a tömegtermékesített malware használatában a kriptopénz ökoszisztéma magas értékű célpontjai ellen.
A biztonsági csapatok által javasolt enyhítési stratégiák közé tartozik a szigorú email és web szűrési szabályzatok alkalmazása a rosszindulatú hirdetési hálózatok blokkolására, viselkedésalapú fenyegetésészlelő megoldások telepítése, valamint az automatikus, megbízhatatlan NodeJS szkriptek futtatásának letiltása. A böngésző tárcák felhasználóit arra biztatják, hogy ellenőrizzék a bővítmények integritását, tartsanak naprakész offline biztonsági mentést a seed kifejezésekről, és nagy értékű eszközök esetén fontolják meg hardver tárca használatát.
Az ismeretlen domainek irányába irányuló szokatlan kimenő forgalom folyamatos figyelése segíthet az adatkiszivárgási próbálkozások korai észlelésében. A tárca fejlesztők, böngésző gyártók és biztonsági cégek közötti együttműködés elengedhetetlen lesz olyan aláírás- és viselkedésalapú felismerők fejlesztéséhez, amelyek képesek áthatolni a ModStealer elrejtési rétegein és megakadályozni további tárcasértéseket.
Hozzászólások (0)