Na nova minaccia di malware nominata ModStealer s'havi a ntisi comu 'na granni minaccia pi li portafogli di criptovaluti basati supra browser, utilizzannu tecnichi sofistati d'ufuscazzioni pi scappari di li difisi antivirus ca s'appoghianu supra siggaturi. Li ricircaturi di sigurtà a Mosyle hannu signalatu ca ModStealer è ristatu non scuperto pi quasi un misi mentri cunsidirava attivamenti li estensioni di wallet supra li principali sistemi operativi, cumpresu Windows, Linux, e macOS.
U vetturi principali di distribbuzzioni di ModStealer usa annunci malizziosi di ricerca di travagghiu ca attiranu sviluppatura a scaricari payload infettati. Quannu è eseguitu, u malware usa script NodeJS assai ufuscati ca sfugginu l'antivirus tradizziunali arriniscennu a ammucciari li schemi di codici ricunnoscibuli. L'esecuzzioni accumencia cu rutini dinamichi di disimballaggiu ca ricustruiscinu u modulu principali di esfiltrazzioni nti la memoria, riducennu l'impronta supra u discu e li nsigni forenzici di cumpromissioni.
U còdici cunteni istruzzioni precunfiggirati pi circari e estraìri cridenziali di 56 estensioni distinti di portafogli browser, cumpresi wallet pupulari ca supportanu Bitcoin, Ethereum, Solana e autri catini principali di blockchain. Chiavi privati, database di cridenziali, e certificati digitali sunnu copiati nta na cartella lucali di staging prima di essiri esfiltrati a server di cumannu e cuntrollu attraversu canali HTTPS criptati. Funzioni di hijacking di clipboard permettunu d'intercettari l'indirizzi di wallet, ridirigennu li trasferimenti di asset a indirizzi cuntrullati di l'attaccanti in tempu rial.
Oltre a lu triddu di cridenziali, ModStealer susteni moduli opzziunali pi ricunniscenza di sistema, cattura di schermu e esecuzzioni remota di còdici. Supra macOS, l'impianazzioni s'appoggia a lu meccanismu LaunchAgents pi ottèniri persistenza, mentri li varianti pi Windows e Linux adupranu attività pianificati e cron jobs, rispettivamenti. L'architettura mudulari di u malware permette a l'affiliati di mudificari la funzionalità secondu l'ambiente di destinazzioni e li capacità di payload dumannati.
L'analisti di Mosyle classificanu ModStealer comu Malware-comu-Serviziu, indicannu ca l'operatori affiliati paganu pi aviri accessu a infrastruttura di custruzzioni e distribbuzzioni, abbassannu a soglia di intrata pi attori di minaccia menu tecnicamente capaci. L'aumentu di varianti d'infostealer stu annu, ncriscennu dû 28% rispettu a 2024, sottulìnia 'na tendenza crescenti di malware commoditizzati usati contru obiettivi di autu valuri ntô ecosistema di criptovaluti.
Li stratiggìi di mitigazzioni arricumannati di li squatri di sigurtà ncumpresu l'applicazzioni di pulitichi rigurusi di filtraggiu di email e web pi blokkari riti d'annunci malizziosi, sviluppu di soluzzioni di rilevamentu di minaccia basati supra u cumpurtamentu, e disattivazzioni di esecuzzioni automatiche di script NodeJS nun affidabbili. L'utenti di portafogli browser sunnu cunsigghiati di verìficari l'integrità di l'estensioni, mantèniri backup aggiornati di phrase seed urganizzati offline, e cunsidirari suluzzioni di wallet hardware pi detenzioni di valori elevati.
U monitoraggiu cuntinuu di li mudelli di trafficu pi cunnizzioni outbound anomali a dumini nun canusciuti pò aiutari nta la prima ricanuscenza di tentativi di esfiltrazzioni dati. La cullaburazzioni tra sviluppatura di wallet, fornitori di browser e cumpagnii di sigurtà sarà essenziali pi sviluppari siggaturi e firmi basati supra cumpurtamentu capaci di ntircipitari li liveddi d'ufuscazzioni di ModStealer e pruteggiri ussiccamenti li portafogli.
Cummenti (0)