Jenis malware anyar anu dikenal kalayan ngaranna ModStealer geus muncul minangka ancaman signifikan pikeun dompét cryptocurrency basis browser, ngagunakeun teknik obfuscation canggih pikeun ngaleuwihan pertahanan antivirus berbasis tanda tangan. Panaliti kaamanan di Mosyle nyebutkeun yén ModStealer geus teu katempo salila ampir sasasih bari sacara aktif nyerang ekstensi dompét dina sistem operasi utama, kaasup Windows, Linux, jeung macOS.
Vektor distribusi utama ModStealer kalebet iklan rekrutmen kerja anu jahat anu ngarayu pamekar pikeun ngundeur payload anu kapangaruhan. Saatos dijalankeun, malware maké skrip NodeJS anu kacida diobfuscasi pikeun ngalindungan tina mesin antivirus tradisional ku nyumputkeun pola kode anu tiasa dikenal. Eksekusi dimimitian ku rutinitas unpacking dinamis anu ngarékonstruksi modul éksfiltrasi inti dina mémori, ngaminimalkeun tapak disk jeung indikator forensik kompromi.
Kode éta ngawengku instruksi pra-konfigurasi pikeun milarian jeung ngékstrak kredensial tina 56 ekstensi dompét browser anu béda, kaasup dompét populer anu ngadukung Bitcoin, Ethereum, Solana, jeung blockchain utama séjénna. Konci pribadi, basis data kredensial, jeung sertipikat digital disalin kana diréktori staging lokal saméméh dieksfiltrasi ka sérver komando jeung kontrol via saluran HTTPS énkripsi. Fungsi hijacking clipboard ngamungkinkeun intersepsi alamat dompét, ngarahkeun transfer aset ka alamat anu dikawasa panyerang sacara real-time.
Salian tina maling kredensial, ModStealer ngarojong modul opsional pikeun rekognisi sistem, nyokot gambar layar, jeung éksekusi kode jarak jauh. Dina macOS, implantasi ngagunakeun mékanisme LaunchAgents pikeun ngahontal persistensi, sedengkeun varian Windows jeung Linux nganggo tugas terjadwal jeung cron job masing-masing. Arsitéktur modulér malware ngamungkinkeun afiliasi pikeun ngatur fungsi dumasar kana lingkungan target jeung kamampuan payload anu dipikahoyong.
Analis Mosyle ngelompokkeun ModStealer salaku Malware-as-a-Service, nunjukkeun yén operator afiliasi mayar pikeun aksés kana infrastruktur pangwangunan jeung pangiriman, ngirangan halangan pikeun aktor ancaman anu kurang profésional dina téknis. Laju naék varian infostealer taun ieu, naék 28% dibandingkeun taun 2024, nandakeun tren beuki ningkat tina malware komoditisasi anu digunakeun ngalawan target nilai luhur dina ékosistem cryptocurrency.
Strategi mitigasi anu disarankeun ku tim kaamanan kalebet maksa kawijakan saringan email jeung web anu ketat pikeun ngeblokir jaringan iklan jahat, ngarékayasa solusi deteksi ancaman dumasar paripolah, jeung mareuman éksekusi otomatis skrip NodeJS anu teu dipercaya. Pamaké dompét browser disarankeun pikeun mariksa integritas ekstensi, ngajaga cadangan frasa seed anu apdet sarta disimpen sacara offline, sarta mertimbangkeun solusi dompét hardware pikeun simpenan nilai ageung.
Monitoring terus-terusan pola lalu lintas pikeun sambungan kaluar anu anomali ka domain anu teu wawuh bisa ngabantu dina deteksi awal usaha éksfiltrasi data. Koordinasi antara pamekar dompét, vendor browser, jeung perusahaan kaamanan bakal penting pikeun ngembangkeun tanda tangan jeung paripolah berbasis tanda tangan anu mampuh nyegah lapisan obfuscation ModStealer sarta nyegah kompromi dompét salajengna.
Komentar (0)