ModStealer, varian malware anyar sing ditemokake, wis muncul minangka ancaman gedhe kanggo dompet cryptocurrency adhedhasar browser, nggunakake teknik obfuscation canggih kanggo ngliwati pertahanan antivirus berbasis tandha tangan. Para peneliti keamanan ing Mosyle nglaporake yen ModStealer wis ora katon meh sewulan nalika aktif nyerang ekstensi dompet ing sistem operasi utama, kalebu Windows, Linux, lan macOS.
Vektor distribusi utama ModStealer kalebu iklan rekrutmen kerja sing ala sing narik para pangembang supaya ngundhuh payload infèksi. Sawise dieksekusi, malware kasebut nggunakake skrip NodeJS sing akeh obfuscation sing ngindhari mesin antivirus tradisional kanthi nyumputake pola kode sing bisa dikenal. Eksekusi diwiwiti kanthi rutinitas unpacking dinamis sing mbangun maneh modul exfiltration inti ing memori, nyuda jejak disk lan indikator forensic kompromi.
Kode kasebut kalebu instruksi prakonfigurasi kanggo nggoleki lan ngasilake kredensial saka 56 ekstensi dompet browser sing beda, kalebu dompet populer sing ndhukung Bitcoin, Ethereum, Solana, lan blok rantai utama liyane. Kunci pribadi, basis data kredensial, lan sertifikat digital disalin menyang direktori staging lokal sadurunge dieksfiltrasi menyang server komando lan kontrol liwat saluran HTTPS sing dienkripsi. Fungsi pembajakan clipboard ngidini intersepsi alamat dompet, ngarahake transfer aset menyang alamat sing dikontrol penyerang sacara real-time.
Saliyane nyolong kredensial, ModStealer ndhukung modul pilihan kanggo rekonaisans sistem, tangkapan layar, lan eksekusi kode jarak jauh. Ing macOS, implantasi nggunakake mekanisme LaunchAgents kanggo entuk persistensi, dene varian Windows lan Linux nggunakake tugas terjadwal lan cron job sabenere. Arsitektur modular malware ngidini afiliasi nyetel fungsi adhedhasar lingkungan target lan kemampuan payload sing dikarepake.
Analisis Mosyle nggolongake ModStealer minangka Malware-as-a-Service, sing nuduhake yen operator afiliasi mbayar kanggo akses kanggo nggawe lan nyebarake infrastruktur, nyuda watesan mlebu kanggo aktor ancaman sing kurang teknis. Lonjakan varian infostealer taun iki, mundhak 28% dibandhingake 2024, negesake tren tambah malware komoditas sing digunakake marang target nilai dhuwur ing ekosistem cryptocurrency.
Strategi mitigasi sing disaranake dening tim keamanan kalebu ngetrapake kabijakan panyaringan email lan web sing ketat kanggo ngblokir jaringan iklan ala, masang solusi deteksi ancaman berbasis prilaku, lan mateni eksekusi otomatis skrip NodeJS sing ora dipercaya. Pangguna dompet browser dianjurake kanggo verifikasi integritas ekstensi, njaga cadangan seed phrase sing dadi offline kanthi terus-terusan, lan nimbang solusi dompet hardware kanggo simpenan nilai gedhe.
Pemantauan terus pola lalu lintas kanggo sambungan metu aneh menyang domain sing ora dikenal bisa mbantu deteksi awal upaya eksfiltrasi data. Koordinasi antarane pangembang dompet, vendor browser, lan perusahaan keamanan bakal dadi penting kanggo nggawe tandha tangan berbasis tanda lan prilaku sing bisa nyegah lapisan obfuscation ModStealer lan nyegah kompromi dompet luwih lanjut.
Komentar (0)