En nyligen identifierad skadlig programvara vid namn ModStealer har dykt upp som ett betydande hot mot webblÀsarbaserade kryptovalutaplÄnböcker, genom att utnyttja sofistikerade fördunklingstekniker för att kringgÄ antivirusförsvar baserade pÄ signaturer. SÀkerhetsforskare pÄ Mosyle rapporterade att ModStealer har förblivit oupptÀckt i nÀstan en mÄnad samtidigt som den aktivt riktar sig mot plÄnbokstillÀgg pÄ stora operativsystem, inklusive Windows, Linux och macOS.
ModStealers primÀra spridningsmetod involverar skadliga jobbannonser som lockar utvecklare att ladda ner infekterade belastningar. NÀr de körs anvÀnder skadlig programvara kraftigt fördunklade NodeJS-skript som undviker traditionella antivirusmotorer genom att dölja igenkÀnnbara kodmönster. Körningen börjar med dynamiska avpackningsrutiner som rekonstruerar kÀrnmodulen för dataexfiltrering i minnet, vilket minimerar diskavtryck och rÀttsmedicinska indikatorer pÄ intrÄng.
Koden innehÄller förkonfigurerade instruktioner för att söka efter och extrahera autentiseringsuppgifter frÄn 56 olika webblÀsarplÄnbokstillÀgg, inklusive populÀra plÄnböcker som stöder Bitcoin, Ethereum, Solana och andra stora blockkedjor. Privata nycklar, autentiseringsdatabaser och digitala certifikat kopieras till en lokal staging-mapp innan de exfiltreras till kommando-och-kontroll-servrar via krypterade HTTPS-kanaler. Funktioner för klippbordsstöld möjliggör avlyssning av plÄnboksadresser genom att omdirigera tillgÄngstransaktioner till angriparkontrollerade adresser i realtid.
Utöver stöld av autentiseringsuppgifter stödjer ModStealer valfria moduler för systemrekognosering, skÀrmdumpning och fjÀrrkörning av kod. PÄ macOS utnyttjar installationen LaunchAgents-mekanismen för att uppnÄ persistens, medan Windows- och Linux-varianter anvÀnder schemalagda uppgifter respektive cron-jobb. Malwarets modulÀra arkitektur möjliggör för associerade operatörer att anpassa funktionaliteten baserat pÄ mÄlmiljö och önskade belastningskapaciteter.
Mosyle-analytiker klassificerar ModStealer som Malware-as-a-Service, vilket innebĂ€r att associerade operatörer betalar för tillgĂ„ng till bygg- och distributionsinfrastruktur, vilket sĂ€nker tröskeln för mindre tekniskt skickliga hotaktörer. Ăkningen av infostealer-varianter i Ă„r, upp 28 % jĂ€mfört med 2024, understryker en vĂ€xande trend av kommersialiserad skadlig programvara som anvĂ€nds mot högvĂ€rdiga mĂ„l inom kryptovalutas ekosystem.
Rekommenderade ÄtgÀrder frÄn sÀkerhetsteam inkluderar att införa strikta policyer för e-post- och webbfiltar för att blockera skadliga annonsnÀtverk, implementera beteendebaserade hotdetektionslösningar och inaktivera automatisk körning av opÄlitliga NodeJS-skript. AnvÀndare av webblÀsarplÄnböcker uppmanas att verifiera tillÀggets integritet, bibehÄlla aktuella sÀkerhetskopior av fröfraser lagrade offline och övervÀga hÄrdvaruplÄnböcker för större vÀrdeinnehav.
Löpande övervakning av trafikmönster för onormala utgÄende anslutningar till okÀnda domÀner kan hjÀlpa till vid tidig upptÀckt av dataexfiltreringsförsök. Samordning mellan plÄnboksutvecklare, webblÀsartillverkare och sÀkerhetsföretag blir avgörande för att utveckla signaturer och beteendebaserade signaturer som kan avbryta ModStealers fördunklingslager och förhindra ytterligare compromise av plÄnböcker.
Kommentarer (0)