Una nuova variante di malware denominata ModStealer è emersa come una minaccia significativa per i portafogli di criptovalute basati su browser, sfruttando tecniche sofisticate di offuscamento per bypassare le difese antivirus basate su firme. I ricercatori di sicurezza di Mosyle hanno segnalato che ModStealer è rimasto inosservato per quasi un mese mentre prendeva di mira attivamente le estensioni di portafoglio sui principali sistemi operativi, inclusi Windows, Linux e macOS.
Il principale vettore di distribuzione di ModStealer coinvolge annunci di lavoro falsi che attirano gli sviluppatori a scaricare payload infetti. Una volta eseguito, il malware impiega script NodeJS fortemente offuscati che sfuggono ai tradizionali motori antivirus nascondendo schemi di codice riconoscibili. L'esecuzione inizia con routine di unpacking dinamico che ricostruiscono il modulo centrale di esfiltrazione in memoria, minimizzando l'impronta su disco e gli indicatori forensi di compromissione.
Il codice include istruzioni preconfigurate per cercare ed estrarre credenziali da 56 diverse estensioni di portafogli per browser, comprese le piĂą popolari che supportano Bitcoin, Ethereum, Solana e altre principali blockchain. Chiavi private, database di credenziali e certificati digitali vengono copiati in una directory locale di staging prima di essere esfiltrati verso server di comando e controllo tramite canali HTTPS criptati. Funzioni di hijacking degli appunti consentono l'intercettazione degli indirizzi del portafoglio, reindirizzando i trasferimenti di asset verso indirizzi controllati dagli aggressori in tempo reale.
Oltre al furto di credenziali, ModStealer supporta moduli opzionali per il riconoscimento del sistema, la cattura dello schermo e l'esecuzione remota di codice. Su macOS, l'installazione sfrutta il meccanismo LaunchAgents per ottenere persistenza, mentre le varianti per Windows e Linux utilizzano rispettivamente attivitĂ pianificate e cron job. L'architettura modulare del malware consente agli affiliati di personalizzare le funzionalitĂ in base all'ambiente target e alle capacitĂ desiderate del payload.
Gli analisti di Mosyle classificano ModStealer come Malware-as-a-Service, indicando che gli operatori affiliati pagano per l'accesso all'infrastruttura di costruzione e distribuzione, abbassando la soglia d'ingresso per attori minacciosi meno esperti tecnicamente. L'aumento delle varianti di infostealer quest'anno, del 28% rispetto al 2024, sottolinea una tendenza crescente di malware commoditizzato utilizzato contro obiettivi di alto valore nell'ecosistema delle criptovalute.
Le strategie di mitigazione raccomandate dai team di sicurezza includono l'applicazione di politiche severe di filtraggio email e web per bloccare le reti pubblicitarie dannose, l'implementazione di soluzioni di rilevamento delle minacce basate sul comportamento e la disabilitazione dell'esecuzione automatica di script NodeJS non fidati. Si consiglia agli utenti di portafogli per browser di verificare l'integritĂ delle estensioni, mantenere backup aggiornati delle frasi seed archiviate offline e considerare soluzioni di portafogli hardware per importanti quantitĂ di crypto.
Un monitoraggio continuo dei modelli di traffico per connessioni in uscita anomale verso domini sconosciuti può aiutare nella rilevazione precoce di tentativi di esfiltrazione dati. La cooperazione tra sviluppatori di portafogli, fornitori di browser e società di sicurezza sarà essenziale per sviluppare firme basate su modelli comportamentali e di codice capaci di intercettare i livelli di offuscamento di ModStealer e prevenire ulteriori compromissioni dei portafogli.
Commenti (0)