Nowo zidentyfikowany szczep złośliwego oprogramowania o nazwie ModStealer pojawił się jako poważne zagrożenie dla przeglądarkowych portfeli kryptowalutowych, wykorzystując zaawansowane techniki zaciemniania, aby obejść tradycyjne systemy antywirusowe oparte na sygnaturach. Badacze bezpieczeństwa z Mosyle zgłosili, że ModStealer pozostawał niezauważony przez prawie miesiąc, aktywnie atakując rozszerzenia portfeli na głównych systemach operacyjnych, w tym Windows, Linux i macOS.
Główny wektor dystrybucji ModStealera obejmuje złośliwe ogłoszenia o pracę, które wabą deweloperów do pobrania zainfekowanych ładunków. Po uruchomieniu, malware używa silnie zaciemnionych skryptów NodeJS, które unikają wykrycia przez tradycyjne silniki antywirusowe, ukrywając rozpoznawalne wzorce kodu. Wykonanie rozpoczyna się od dynamicznych procedur rozpakowywania, które rekonstruują rdzeń modułu wykradania danych w pamięci, minimalizując ślady na dysku oraz wskaźniki kompromitacji.
Kod zawiera wstępnie skonfigurowane instrukcje do wyszukiwania i wyciągania poświadczeń z 56 różnych rozszerzeń portfeli przeglądarkowych, w tym popularnych portfeli obsługujących Bitcoin, Ethereum, Solanę i inne główne blockchainy. Klucze prywatne, bazy danych poświadczeń oraz certyfikaty cyfrowe są kopiowane do lokalnego katalogu przygotowawczego przed ich wykradzeniem do serwerów dowodzenia i kontroli za pomocą zaszyfrowanych kanałów HTTPS. Funkcje przechwytywania schowka umożliwiają przechwycenie adresów portfeli, przekierowując transfery aktywów na kontrolowane przez atakujących adresy w czasie rzeczywistym.
Ponadto ModStealer wspiera opcjonalne moduły do rekonesansu systemu, przechwytywania ekranu oraz zdalnego wykonywania kodu. Na macOS infekcja wykorzystuje mechanizm LaunchAgents do zapewnienia trwałości, podczas gdy warianty Windows i Linux korzystają odpowiednio z zaplanowanych zadań i cron jobów. Modularna architektura malware pozwala afiliantom dostosować funkcje w zależności od środowiska docelowego i żądanych możliwości ładunku.
Analitycy Mosyle kwalifikują ModStealer jako Malware jako Usługę (Malware-as-a-Service), co oznacza, że operatorzy afiliacyjni opłacają dostęp do infrastruktury budowy i wdrożenia, co obniża próg wejścia dla mniej zaawansowanych technicznie aktorów zagrożeń. Wzrost wariantów infostealera w tym roku, o 28% w porównaniu do 2024 roku, podkreśla rosnący trend komercjalizacji złośliwego oprogramowania używanego przeciwko cennym celom w ekosystemie kryptowalut.
Zalecane strategie łagodzenia zagrożeń przez zespoły bezpieczeństwa obejmują egzekwowanie ścisłych polityk filtrowania poczty i stron internetowych w celu blokowania złośliwych sieci reklamowych, wdrażanie rozwiązań wykrywania zagrożeń opartych na zachowaniu oraz wyłączanie automatycznego wykonywania niezweryfikowanych skryptów NodeJS. Użytkownikom portfeli przeglądarkowych zaleca się weryfikację integralności rozszerzeń, utrzymanie aktualnych kopii zapasowych fraz seed przechowywanych offline oraz rozważenie rozwiązań portfeli sprzętowych dla dużych wartości środków.
Stałe monitorowanie wzorców ruchu pod kątem anomalnych połączeń wychodzących do nieznanych domen może pomóc we wczesnym wykrywaniu prób wykradania danych. Współpraca między deweloperami portfeli, dostawcami przeglądarek i firmami bezpieczeństwa będzie kluczowa dla opracowania sygnatur i zachowań wykrywających warstwy zaciemniania ModStealera oraz zapobiegania dalszym kompromitacjom portfeli.
Komentarze (0)