Недавно выявленный вредоносный программный комплекс под названием ModStealer стал значительной угрозой для браузерных криптовалютных кошельков, используя сложные методы обфускации для обхода антивирусной защиты на основе подписей. Исследователи безопасности из Mosyle сообщили, что ModStealer оставался незамеченным почти месяц, активно нацеливаясь на расширения кошельков в основных операционных системах, включая Windows, Linux и macOS.
Основным вектором распространения ModStealer являются вредоносные объявления о приеме на работу, которые привлекают разработчиков для загрузки зараженных полезных нагрузок. После запуска вредоносное ПО использует сильно обфусцированные скрипты NodeJS, которые ускользают от традиционных антивирусных движков, скрывая узнаваемые шаблоны кода. Выполнение начинается с динамических процедур распаковки, которые восстанавливают основной модуль эксфильтрации в памяти, минимизируя следы на диске и индикаторы компрометации для судебного анализа.
Код включает преднастроенные инструкции для поиска и извлечения учетных данных из 56 различных расширений браузерных кошельков, включая популярные кошельки, поддерживающие Bitcoin, Ethereum, Solana и другие крупные блокчейны. Приватные ключи, базы учетных данных и цифровые сертификаты копируются в локальный временный каталог перед эксфильтрацией на командные серверы через зашифрованные HTTPS-каналы. Функции перехвата буфера обмена позволяют перехватывать адреса кошельков, перенаправляя переводы активов на адреса, контролируемые злоумышленниками, в режиме реального времени.
Помимо кражи учетных данных, ModStealer поддерживает дополнительные модули для разведки системы, захвата экрана и удаленного выполнения кода. На macOS внедрение достигается с помощью механизма LaunchAgents для обеспечения устойчивости, тогда как версии для Windows и Linux используют соответствующие задачи по расписанию и cron. Модульная архитектура вредоносного ПО позволяет партнерам адаптировать функционал в зависимости от целевой среды и требуемых возможностей полезной нагрузки.
Аналитики Mosyle классифицируют ModStealer как Malware-as-a-Service, что означает, что операторы-партнеры платят за доступ к инфраструктуре сборки и развертывания, снижая порог входа для менее технически подкованных злоумышленников. Рост количества вариантов инфостилеров в этом году на 28% по сравнению с 2024 годом подчеркивает тенденцию к коммерциализации вредоносного ПО, используемого против ценных целей в криптовалютной экосистеме.
Рекомендуемые меры по снижению риска, предложенные командами по безопасности, включают строгие политики фильтрации электронной почты и веб-контента для блокировки вредоносных рекламных сетей, развертывание решений по обнаружению угроз на основе поведения и отключение автозапуска недоверенных скриптов NodeJS. Пользователям браузерных кошельков советуют проверять целостность расширений, поддерживать актуальные офлайн-резервные копии seed-фраз и рассматривать использование аппаратных кошельков для хранения средств значительной стоимости.
Постоянный мониторинг трафика на предмет аномальных исходящих соединений с незнакомыми доменами может помочь в раннем обнаружении попыток эксфильтрации данных. Координация между разработчиками кошельков, производителями браузеров и компаниями по безопасности будет необходима для разработки сигнатур и поведенческих методов, способных обнаруживать обфускационные слои ModStealer и предотвращать дальнейшие компрометации кошельков.
Комментарии (0)