O nouă tulpină de malware identificată recent, numită ModStealer, a apărut ca o amenințare semnificativă pentru portofelele criptomonede bazate pe browser, folosind tehnici sofisticate de ofuscare pentru a ocoli apărarea antivirus bazată pe semnături. Cercetătorii în securitate de la Mosyle au raportat că ModStealer a rămas nedetectat aproape o lună, țintind activ extensiile portofelelor pe principalele sisteme de operare, inclusiv Windows, Linux și macOS.
Vectorul principal de distribuție al ModStealer implică anunțuri de recrutare de muncă malițioase care atrag dezvoltatorii să descarce încărcături infectate. Odată executat, malware-ul folosește scripturi NodeJS puternic ofuscate care evită motoarele antivirus tradiționale prin ascunderea șabloanelor de cod recunoscute. Execuția începe cu rutine dinamice de despachetare care reconstruiesc modulul principal de exfiltrare în memorie, minimizând amprenta pe disc și indicatorii de compromitere pentru analiza criminalistică.
Codul include instrucțiuni preconfigurate pentru a căuta și extrage acreditările din 56 de extensii distincte de portofele de browser, inclusiv portofele populare care suportă Bitcoin, Ethereum, Solana și alte blockchainuri majore. Cheile private, bazele de date cu acreditări și certificatele digitale sunt copiate într-un director local temporar înainte de a fi exfiltrate către serverele de comandă și control prin canale HTTPS criptate. Funcțiile de interceptare a clipboard-ului permit capturarea adreselor portofelului, redirecționând transferurile de active către adrese controlate de atacatori în timp real.
Dincolo de furtul de acreditări, ModStealer suportă module opționale pentru recunoaștere a sistemului, captură de ecran și execuție de cod la distanță. Pe macOS, implantarea utilizează mecanismul LaunchAgents pentru a obține persistență, în timp ce variantele pentru Windows și Linux folosesc sarcini programate și cron jobs, respectiv. Arhitectura modulară a malware-ului permite afiliaților să adapteze funcționalitatea în funcție de mediul țintă și capacitățile dorite ale încărcăturii.
Analiștii Mosyle clasifică ModStealer ca Malware-ca-Serviciu, indicând că operatorii afiliați plătesc pentru acces la infrastructura de construire și implementare, reducând bariera de intrare pentru actori de amenințare mai puțin experimentați tehnic. Creșterea cu 28% a variantelor de infostealer în acest an comparativ cu 2024 evidențiază o tendință crescândă de malware comercializat folosit împotriva țintelor de valoare ridicată din ecosistemul criptomonedelor.
Strategiile de atenuare recomandate de echipele de securitate includ aplicarea unor politici stricte de filtrare a emailurilor și web pentru a bloca rețelele de reclame malițioase, implementarea soluțiilor de detectare a amenințărilor bazate pe comportament și dezactivarea execuției automate a scripturilor NodeJS nesigure. Utilizatorilor de portofele de browser li se recomandă să verifice integritatea extensiilor, să mențină backup-uri actualizate ale frazelor seed stocate offline și să ia în considerare soluțiile hardware wallet pentru deținerile de valoare mare.
Monitorizarea continuă a modelelor de trafic pentru conexiuni ieșite anormale către domenii necunoscute poate ajuta la detectarea timpurie a încercărilor de exfiltrare a datelor. Coordonarea între dezvoltatorii de portofele, furnizorii de browsere și firmele de securitate va fi esențială pentru a dezvolta semnături bazate pe comportament și semnătură capabile să intercepteze straturile de ofuscare ale ModStealer și să prevină compromiterea ulterioară a portofelelor.
Comentarii (0)