Een nieuw geïdentificeerde malwarestam genaamd ModStealer is opgedoken als een aanzienlijke bedreiging voor browsergebaseerde cryptocurrency wallets, waarbij geavanceerde obfuscatie-technieken worden gebruikt om signature-based antivirusverdedigingen te omzeilen. Beveiligingsonderzoekers bij Mosyle rapporteerden dat ModStealer bijna een maand onopgemerkt is gebleven terwijl het actief wallet-extensies op grote besturingssystemen, waaronder Windows, Linux en macOS, target.
De primaire distributiewijze van ModStealer omvat kwaadaardige vacatures die ontwikkelaars aantrekken om geïnfecteerde payloads te downloaden. Eenmaal uitgevoerd gebruikt de malware sterk geobfusceerde NodeJS-scripts die traditionele antivirusengines ontlopen door herkenbare codepatronen te verbergen. De uitvoering begint met dynamische unpacking-routines die de kernexfiltratiemodule in het geheugen reconstrueren, waardoor het schijfgebruik en forensische indicatoren van compromise worden geminimaliseerd.
De code bevat vooraf geconfigureerde instructies om te zoeken naar en inloggegevens te extraheren uit 56 verschillende browserwallet-extensies, inclusief populaire wallets die Bitcoin, Ethereum, Solana en andere belangrijke blockchains ondersteunen. Privésleutels, inloggegevensdatabases en digitale certificaten worden gekopieerd naar een lokale stagingdirectory voordat ze via versleutelde HTTPS-kanalen naar command-and-control-servers worden geëxfiltreerd. Clipboard-hijackingfuncties maken het mogelijk walletadressen onderscheppen en assettransfers in realtime om te leiden naar door de aanvaller beheerde adressen.
Naast het stelen van inloggegevens ondersteunt ModStealer optionele modules voor systeemverkenning, schermopname en remote code execution. Op macOS maakt de implantatie gebruik van het LaunchAgents-mechanisme om persistentie te bereiken, terwijl de Windows- en Linux-varianten respectievelijk geplande taken en cronjobs gebruiken. De modulaire architectuur van de malware stelt affiliates in staat functionaliteit aan te passen op basis van de doelomgeving en gewenste payloadmogelijkheden.
Analisten van Mosyle classificeren ModStealer als Malware-as-a-Service, wat betekent dat affiliate-operators betalen voor toegang tot bouw- en implementatie-infrastructuur, waardoor de toetredingsdrempel voor technisch minder bekwame bedreigingsactoren wordt verlaagd. De stijging van infostealer-varianten dit jaar, met 28% ten opzichte van 2024, benadrukt een groeiende trend van gecommercialiseerde malware die wordt ingezet tegen hoogwaardige doelen in het cryptocurrency-ecosysteem.
Mitigatiestrategieën die door beveiligingsteams worden aanbevolen, omvatten het handhaven van strikte e-mail- en webfilteringsbeleid om kwaadaardige advertentienetwerken te blokkeren, het inzetten van gedragsgebaseerde dreigingsdetectieoplossingen en het uitschakelen van automatische uitvoering van niet-vertrouwde NodeJS-scripts. Gebruikers van browserwallets wordt geadviseerd de integriteit van extensies te verifiëren, up-to-date back-ups van seed-woorden offline te bewaren en hardware wallet-oplossingen te overwegen voor holdings met hoge waarde.
Continue monitoring van verkeerspatronen voor afwijkende uitgaande verbindingen naar onbekende domeinen kan helpen bij vroege detectie van data-exfiltratiepogingen. Samenwerking tussen walletontwikkelaars, browserleveranciers en beveiligingsbedrijven zal essentieel zijn om signature- en gedragssignaturen te ontwikkelen die in staat zijn de obfuscatielagen van ModStealer te onderscheppen en verdere walletcompromittering te voorkomen.
Reacties (0)