Nova vrsta zlonamerne programske opreme z imenom ModStealer se pojavlja kot pomembna grožnja brskalniškim denarnicam za kriptovalute, saj uporablja sofisticirane tehnike zamegljevanja za obvod zaščitnih sistemov antivirusnih programov, ki temeljijo na podpisih. Varnostni raziskovalci iz Mosyle so poročali, da je ModStealer ostal neopažen skoraj mesec dni, medtem ko je aktivno ciljal na razširitve denarnic na glavnih operacijskih sistemih, vključno z Windows, Linux in macOS.
Glavna distribucijska pot ModStealerja vključuje zlonamerne oglase za zaposlitev, ki razvijalce zvabijo k prenosu okuženih paketov. Ko se zažene, zlonamerna programska oprema uporablja močno zamegljene NodeJS skripte, ki se izognejo tradicionalnim antivirusnim sistemom s skrivanje prepoznavnih vzorcev kode. Izvedba se začne z dinamičnimi postopki razpakiranja, ki v pomnilniku rekonstruirajo glavni modul za iznos podatkov, s čimer zmanjšajo zajetje na disku in forenzične znake kompromisa.
Koda vsebuje vnaprej konfigurirana navodila za iskanje in pridobivanje poverilnic iz 56 različnih razširitev brskalniških denarnic, vključno s priljubljenimi denarnicami, ki podpirajo Bitcoin, Ethereum, Solano in druge velike verige blokov. Zasebni ključi, baze podatkov poverilnic in digitalni certifikati se kopirajo v lokalno začasno mapo, preden se preko šifriranih HTTPS kanalov prenesejo na strežnike za ukazovanje in nadzor. Funkcije za prestrezanje odložišča omogočajo prisluškovanje naslovom denarnic in v realnem času preusmerjajo prenose sredstev na naslove, ki jih nadzirajo napadalci.
Poleg kraje poverilnic ModStealer podpira dodatne module za sistemsko izviđanje, zajem zaslona in oddaljeno izvrševanje kode. Na macOS-u implantacija uporablja mehanizem LaunchAgents za trajnostno prisotnost, medtem ko različice za Windows in Linux uporabljajo načrtovane naloge oziroma cron skripte. Modularna arhitektura zlonamerne programske opreme omogoča sodelujočim prilagajanje funkcionalnosti glede na ciljno okolje in zahtevane zmogljivosti naloge.
Analitiki Mosyle ModStealer klasificirajo kot Malware kot storitev (MaaS), kar pomeni, da operaterji sodelujoči plačujejo za dostop do infrastrukture za izdelavo in namestitev, s čimer se znižajo ovire za manj tehnično usposobljene grožnje. Povečanje števila različic infozlorabnikov letos, za 28 % v primerjavi z letom 2024, poudarja naraščajoči trend komodizirane zlonamerne programske opreme, ki se uporablja proti visokovrednim ciljem v kripto ekosistemu.
Priporočene strategije za zmanjševanje tveganj vključujejo strogo izvajanje politik filtriranja e-pošte in spletnih vsebin za blokiranje zlonamernih oglaševalskih omrežij, uvajanje rešitev za odkrivanje groženj na osnovi vedenja in onemogočanje samodejnega izvajanja nezaupljivih NodeJS skript. Uporabniki brskalniških denarnic naj preverjajo integriteto razširitev, redno vzdržujejo posodobljene varnostne kopije začetnih fraz, shranjenih brez povezave, ter razmislijo o uporabi strojnih denarnic za večje vrednosti.
Neprestano spremljanje vzorcev prometa za nenavadne dohodne povezave do neznanih domen lahko pomaga pri zgodnjem odkrivanju poskusov iznošenja podatkov. Sodelovanje med razvijalci denarnic, ponudniki brskalnikov in varnostnimi podjetji bo bistveno za razvoj podpisnih in vedenjskih zaščit, ki bodo zmogle prestreči plasti zamegljevanja ModStealerja in preprečiti nadaljnjo kompromitacijo denarnic.
Komentarji (0)