Sebuah strain malware baru bernama ModStealer telah muncul sebagai ancaman signifikan bagi dompet cryptocurrency berbasis browser, menggunakan teknik obfuscation canggih untuk melewati pertahanan antivirus berbasis tanda tangan. Peneliti keamanan di Mosyle melaporkan bahwa ModStealer telah tidak terdeteksi selama hampir sebulan sambil aktif menargetkan ekstensi dompet di berbagai sistem operasi utama, termasuk Windows, Linux, dan macOS.
Vektor distribusi utama ModStealer melibatkan iklan perekrutan kerja berbahaya yang memikat pengembang untuk mengunduh payload yang terinfeksi. Setelah dijalankan, malware ini menggunakan skrip NodeJS yang sangat diobfuscate yang menghindari mesin antivirus tradisional dengan menyembunyikan pola kode yang dikenali. Eksekusi dimulai dengan rutinitas unpacking dinamis yang merekonstruksi modul exfiltration inti di memori, meminimalkan jejak disk dan indikator forensic dari kompromi.
Kode tersebut mencakup instruksi yang telah dikonfigurasi untuk mencari dan mengekstrak kredensial dari 56 ekstensi dompet browser yang berbeda, termasuk dompet populer yang mendukung Bitcoin, Ethereum, Solana, dan blockchain besar lainnya. Kunci privat, database kredensial, dan sertifikat digital disalin ke direktori staging lokal sebelum dieksfiltrasi ke server command-and-control melalui saluran HTTPS yang dienkripsi. Fungsi pembajakan clipboard memungkinkan intersepsi alamat dompet, mengalihkan transfer aset ke alamat yang dikontrol penyerang secara real-time.
Selain pencurian kredensial, ModStealer mendukung modul opsional untuk pengintaian sistem, tangkapan layar, dan eksekusi kode jarak jauh. Pada macOS, implantasi memanfaatkan mekanisme LaunchAgents untuk mencapai persistensi, sementara varian Windows dan Linux menggunakan tugas terjadwal dan cron job secara berurutan. Arsitektur modular malware memungkinkan afiliasi menyesuaikan fungsionalitas berdasarkan lingkungan target dan kapabilitas payload yang diinginkan.
Analisis Mosyle mengklasifikasikan ModStealer sebagai Malware-as-a-Service, menunjukkan bahwa operator afiliasi membayar untuk akses membangun dan infrastruktur penyebaran, menurunkan hambatan masuk bagi aktor ancaman yang kurang berteknologi. Kenaikan varian infostealer tahun ini, naik 28% dibandingkan dengan 2024, menegaskan tren pertumbuhan malware yang dikomoditisasi yang digunakan melawan target bernilai tinggi dalam ekosistem cryptocurrency.
Strategi mitigasi yang direkomendasikan oleh tim keamanan termasuk menerapkan kebijakan filter email dan web yang ketat untuk memblokir jaringan iklan berbahaya, menerapkan solusi deteksi ancaman berbasis perilaku, dan menonaktifkan eksekusi otomatis skrip NodeJS yang tidak dipercaya. Pengguna dompet browser disarankan untuk memverifikasi integritas ekstensi, menjaga cadangan frase seed yang diperbarui dan disimpan secara offline, serta mempertimbangkan solusi dompet perangkat keras untuk kepemilikan bernilai besar.
Pemantauan lalu lintas yang berkelanjutan untuk pola koneksi keluar yang anomali ke domain yang tidak dikenal dapat membantu deteksi dini upaya eksfiltrasi data. Koordinasi antara pengembang dompet, vendor browser, dan perusahaan keamanan akan sangat penting untuk mengembangkan tanda tangan berbasis tanda tangan dan perilaku yang mampu mencegat lapisan obfuscation ModStealer dan mencegah kompromi dompet lebih lanjut.
Komentar (0)