Невидљиви ModStealer напади на крипто-новчанике у прегледачима

Нови откривени софтвер за малвер под називом ModStealer појавио се као значајна претња за крипто новчанике базиране на прегледачима, користећи напредне технике маскирања да заобиђе антивирусне одбранe засноване на потписима. Истраживачи безбедности из компаније Mosyle известили су да је ModStealer остао непримећен скоро месец дана, док је активно циљао екстензије новчаника на главним оперативним системима, укључујући Windows, Linux и macOS.

Примарни начин дистрибуције ModStealer-а укључује злокобне огласе за запошљавање који маме програмере да преузму заражене пакете. Када се активира, малвер користи јако замагљене NodeJS скрипте које измичу традиционалним антивирусним моторима скривајући препознатљиве образце кода. Извршавање почиње динамичким распаковавањем које реконструише главни модул за ексфилтрацију у меморији, минимизирајући присуство на диску и форензичке индикаторе компромитовања.

Код садржи унапред подешена упутства за проналажење и извлачење акредитива из 56 различитих екстензија прегледача за новчанике, укључујући популарне новчанике који подржавају Bitcoin, Ethereum, Solana и друге главне блокчејнове. Приватни кључеви, базе података акредитива и дигитални сертификати копирају се у локални директоријум пре снимања, а затим се ексфилтрирају на командно-контролне сервере путем шифрованих HTTPS канала. Функције пресретања садржаја клипборда омогућују пресретање адреса новчаника, преусмеравајући трансфере имовине на адресе које контролишу нападачи у реалном времену.

Поред крађе акредитива, ModStealer подржава опционе модуле за системско извиђање, снимање екрана и даљинско извршавање кода. На macOS-у имплементација користи LaunchAgents механизам за постизање перзистенције, док варијанте за Windows и Linux користе распореде задатака и cron послове, респективно. Модуларна архитектура малвера омогућава сарадницима да прилагоде функционалност у зависности од циљног окружења и жељених капацитета пакета.

Аналитичари из Mosyle класификују ModStealer као Malware-as-a-Service, што значи да оператери сарадници плаћају приступ инфраструктури за развој и дистрибуцију, смањујући улазну препреку за мање технички оспособљене претње. Повећање броја варијанти инфостилера ове године, за 28% у односу на 2024, указује на растући тренд комодификованог малвера који се користи против циљева високе вредности у екосистему криптовалута.

Препоручене стратегије умањења ризика од стране тимова за безбедност укључују примену стриктних политика филтрирања е-поште и веба за блокирање злонамерних огласних мрежа, коришћење решења заснованих на детекцији понашања, као и онемогућавање аутоматског извршавања непоузданих NodeJS скрипти. Корисницима прегледачких новчаника саветује се да проверавају интегритет екстензија, одржавају ажурне резервне копије „seed“ фраза ван мреже и разматрају коришћење хардверских новчаника за веће износе.

Континуирани надзор саобраћајних образаца ради уочавања аномалних одлазећих веза ка непознатим доменима може помоћи у раном откривању покушаја ексфилтрације података. Координација између програмера новчаника, добављача прегледача и безбедносних фирми биће кључна за развој потписа и детекција понашања способних да пресретну слојеве маскирања ModStealer-а и спрече даље компромитовање новчаника.