Satu strain malware baru yang dikenali bernama ModStealer telah muncul sebagai ancaman signifikan kepada dompet kripto berasaskan pelayar, menggunakan teknik pengaburan canggih untuk mengelakkan pertahanan antivirus berasaskan tandatangan. Penyiasat keselamatan di Mosyle melaporkan bahawa ModStealer kekal tidak dikesan selama hampir sebulan sambil secara aktif menyasarkan sambungan dompet di pelbagai sistem operasi utama, termasuk Windows, Linux, dan macOS.
Vektor pengedaran utama ModStealer melibatkan iklan pengambilan kerja berniat jahat yang memikat pembangun untuk memuat turun muatan berjangkit. Setelah dilaksanakan, malware menggunakan skrip NodeJS yang sangat kabur yang mengelakkan enjin antivirus tradisional dengan menyembunyikan corak kod yang dikenali. Pelaksanaan bermula dengan rutin pembongkaran dinamik yang membina semula modul pemindahan utama dalam memori, mengurangkan jejak cakera dan penunjuk forensik kompromi.
Kod tersebut termasuk arahan yang telah dipra-konfigurasikan untuk mencari dan mengekstrak kelayakan dari 56 sambungan dompet pelayar yang berbeza, termasuk dompet popular yang menyokong Bitcoin, Ethereum, Solana, dan blokchain utama lain. Kunci peribadi, pangkalan data kelayakan, dan sijil digital disalin ke direktori penstoran tempatan sebelum dihantar ke pelayan kawalan melalui saluran HTTPS yang disulitkan. Fungsi rampasan papan klip membolehkan pemintas alamat dompet, mengalihkan pemindahan aset ke alamat yang dikawal oleh penyerang secara masa nyata.
Selain kecurian kelayakan, ModStealer menyokong modul pilihan untuk perisikan sistem, tangkapan skrin, dan pelaksanaan kod jauh. Pada macOS, penanaman menggunakan mekanisme LaunchAgents untuk mencapai persistensi, manakala varian Windows dan Linux menggunakan tugas terjadual dan pekerjaan cron, masing-masing. Seni bina modular malware membolehkan rakan kongsi menyesuaikan fungsi berdasarkan persekitaran sasaran dan keupayaan muatan yang dikehendaki.
Analisis Mosyle mengklasifikasikan ModStealer sebagai Malware-sebagai-Perkhidmatan, menunjukkan bahawa pengendali rakan kongsi membayar untuk akses kepada infrastruktur binaan dan pelaksanaan, menurunkan halangan kemasukan bagi pelaku ancaman yang kurang mahir teknikal. Peningkatan varian infostealer tahun ini, naik 28% berbanding 2024, menyoroti trend yang berkembang dalam penggunaan malware termudah yang digunakan terhadap sasaran bernilai tinggi dalam ekosistem kriptokurensi.
Strategi mitigasi yang disyorkan oleh pasukan keselamatan termasuk menguatkuasakan dasar penapisan emel dan web yang ketat untuk menyekat rangkaian iklan berniat jahat, melaksanakan penyelesaian pengesanan ancaman berasaskan tingkah laku, dan mematikan pelaksanaan automatik skrip NodeJS yang tidak dipercayai. Pengguna dompet pelayar dinasihatkan untuk mengesahkan integriti sambungan, menyimpan sandaran frasa benih terkini secara luar talian, dan mempertimbangkan penyelesaian dompet perkakasan untuk pegangan bernilai besar.
Pemantauan berterusan corak trafik untuk sambungan keluar yang luar biasa ke domain asing boleh membantu dalam pengesanan awal cubaan pemindahan data. Penyelarasan antara pembangun dompet, vendor pelayar, dan firma keselamatan akan menjadi penting untuk membangunkan tandatangan berasaskan tandatangan dan tingkah laku yang mampu mencegat lapisan pengaburan ModStealer dan mengelakkan kerosakan dompet selanjutnya.
Komen (0)