Nýlega hefur fundist illgjarn hugbúnaður að nafni ModStealer sem er verulegur ógn við vafra-undirstaða stafrænar veski fyrir rafmyntir, sem notar flókin dulmálsaðferðir til að komast framhjá antivirusvörn byggðri á einkennum. Öryggisrannsakendur hjá Mosyle greindu frá því að ModStealer hefur verið óathugaður nærri einn mánuð á meðan hann beindist virkju að veskiútvíkkunum á helstu stýrikerfum, þar með talin Windows, Linux og macOS.
Helsti dreifingarleið ModStealer felst í illgjarnri starfskraftauglýsingu sem lokkar verktaka til að hlaða niður sýktum hugbúnaði. Þegar hann er keyrður notar spilliforritið mjög dulmálaða NodeJS skriftur sem flýr hefðbundnum antivirusvélum með því að fela þekkjanleg kóðamynstur. Framkvæmdin hefst með breytilegum afkóðunaraðferðum sem endurbyggja kjarna úthlutunarmódúl í minni til að lágmarka pláss á disk og rannsóknarbendi um brot á öryggi.
Kóðinn inniheldur forhannaðar leiðbeiningar til að leita að og ná lykilorðum úr 56 mismunandi vafra-veskiútvíkkunum, þar með talin vinsæl veski sem styðja Bitcoin, Ethereum, Solana og önnur helstu keðjubrot. Einkalyklar, lykilorðagögn og stafrænar vottanir eru afrituð á staðbundið tímabundið svæði áður en þau eru send með dulkóðuðum HTTPS rásum til stjórnunar- og stjórnþjónustu. Fall á klemmuspjaldi gerir kleift að handstýra veskiheitum og beina eignaflutningum beint til áætlaðra árásarmanna í rauntíma.
Handan stuldar á innskráningargögnum styður ModStealer valfrjálsar einingar fyrir kerfisupplýsingar, skjámyndataka og utanaðkomandi kóðakstur. Á macOS nýtir hann LaunchAgents til að ná varanleika, á meðan Windows og Linux útgáfur nota tímasett verkefni og cron-verkefni. Módúlar uppbygging spilliforritsins gerir notendum kleift að sniðsníða virkni eftir umhverfi og æskilegum hæfileikum árásarforritsins.
Greiningarfræðingar Mosyle flokka ModStealer sem Malware-as-a-Service, sem þýðir að samstarfsaðilar greiða fyrir aðgang til að byggja og dreifa hugbúnaðinum, sem lækkar aðgengi fyrir minna tæknilega vana ógnaraðila. Aukning á upplýsingastuldaraðgerðum um 28% á þessu ári frá 2024 undirstrikar vaxandi straum af góðgerðarmálefnum spilliforrita sem beitt er gegn háverðmætum markmiðum innan rafmyntakerfisins.
Viðbragðsáætlanir sem öryggisteymi ráðleggja fela í sér strangar tölvupósts- og vefsíu-aðgerðir til að stöðva illgjarnar auglýsingaþjónustur, innleiðingu hegðunartengdra ógnagreiningarlausna og að slökkva á sjálfvirkri keyrslu ótraustra NodeJS skriftna. Notendur vafra-veskja eru hvattir til að staðfesta heilleika útvíkkana, halda uppfærðum afritum af aðalinngöngulyklum geymdum á netlausum stað og íhuga vélbúnaðarveski fyrir veruleg eignarsöfn.
Samfelld eftirlit með umferðarmynstri til að finna óeðlilega útsetta tengingu við ókunnug svæði getur hjálpað við snemmbúna greiningu á tilraunum til gagnalekanda. Samvinna milli veskiþróunaraðila, vafrafyrirtækja og öryggisfyrirtækja verður grundvallaratriði til að þróa undirmál og hegðunartengdar vísbendingar sem geta náð fram hjá dulmálslagi ModStealer og komið í veg fyrir frekari brot á veskjunum.
Athugasemdir (0)