Uma nova cepa de malware identificada, chamada ModStealer, emergiu como uma ameaça significativa para carteiras de criptomoedas baseadas em navegador, utilizando técnicas sofisticadas de ocultação para contornar defesas antivírus baseadas em assinaturas. Pesquisadores de segurança da Mosyle relataram que o ModStealer permaneceu indetectado por quase um mês enquanto visava ativamente extensões de carteiras em sistemas operacionais principais, incluindo Windows, Linux e macOS.
O principal vetor de distribuição do ModStealer envolve anúncios maliciosos de recrutamento de emprego que atraem desenvolvedores a baixar cargas infectadas. Uma vez executado, o malware utiliza scripts NodeJS altamente ofuscados que escapam dos mecanismos antivírus tradicionais ao esconder padrões de código reconhecíveis. A execução começa com rotinas dinâmicas de descompactação que reconstruem o módulo central de exfiltração na memória, minimizando a pegada em disco e indicadores forenses de comprometimento.
O código inclui instruções pré-configuradas para buscar e extrair credenciais de 56 extensões distintas de carteiras de navegador, incluindo carteiras populares que suportam Bitcoin, Ethereum, Solana e outras principais blockchains. Chaves privadas, bancos de dados de credenciais e certificados digitais são copiados para um diretório local de preparação antes de serem exfiltrados para servidores de comando e controle via canais HTTPS criptografados. Funções de sequestro da área de transferência permitem a interceptação de endereços de carteiras, redirecionando transferências de ativos para endereços controlados por atacantes em tempo real.
Além do roubo de credenciais, o ModStealer suporta módulos opcionais para reconhecimento do sistema, captura de tela e execução remota de código. No macOS, a implantação utiliza o mecanismo LaunchAgents para alcançar persistência, enquanto as variantes para Windows e Linux usam tarefas agendadas e cron jobs, respectivamente. A arquitetura modular do malware permite que afiliados customizem funcionalidades com base no ambiente alvo e nas capacidades desejadas do payload.
Analistas da Mosyle classificam o ModStealer como Malware-como-Serviço, indicando que operadores afiliados pagam pelo acesso à infraestrutura de construção e implantação, reduzindo a barreira de entrada para agentes de ameaça menos tecnicamente proficientes. O aumento nas variantes de infostealers neste ano, 28% maior em comparação a 2024, destaca uma tendência crescente de malware comoditizado sendo utilizado contra alvos de alto valor no ecossistema de criptomoedas.
Estratégias de mitigação recomendadas pelas equipes de segurança incluem a aplicação rigorosa de políticas de filtragem de e-mails e web para bloquear redes de anúncios maliciosos, implantação de soluções de detecção de ameaças baseadas em comportamento e desativação da execução automática de scripts NodeJS não confiáveis. Usuários de carteiras de navegador são aconselhados a verificar a integridade das extensões, manter backups atualizados das frases-semente armazenadas offline e considerar soluções de carteiras de hardware para valores elevados.
O monitoramento contínuo de padrões de tráfego para conexões suspeitas de saída para domínios desconhecidos pode auxiliar na detecção precoce de tentativas de exfiltração de dados. A coordenação entre desenvolvedores de carteiras, fornecedores de navegadores e empresas de segurança será essencial para desenvolver assinaturas baseadas em comportamento e em assinaturas capazes de interceptar as camadas de ocultação do ModStealer e evitar novos comprometimentos de carteiras.
Comentários (0)