ModStealer adı verilen yeni tespit edilen bir kötü amaçlı yazılım türü, imza tabanlı antivirüs savunmalarını aşmak için gelişmiş karartma teknikleri kullanarak tarayıcı tabanlı kripto para cüzdanları için önemli bir tehdit olarak ortaya çıktı. Mosyle güvenlik araştırmacıları, ModStealer’ın neredeyse bir ay boyunca fark edilmeden kalarak Windows, Linux ve macOS dahil olmak üzere büyük işletim sistemlerindeki cüzdan uzantılarını aktif şekilde hedef aldığını bildirdi.
ModStealer’ın birincil yayılım yöntemi, geliştiricileri enfekte yükleri indirmeye teşvik eden kötü amaçlı iş ilanlarıdır. Çalıştırıldığında, kötü amaçlı yazılım tanınabilir kod desenlerini gizleyerek geleneksel antivirüs motorlarından kaçınan ağır şekilde karartılmış NodeJS betikleri kullanır. Çalıştırma, disk izini ve adli göstergeleri en aza indirerek çekirdek veri sızdırma modülünü bellekte yeniden inşa eden dinamik açma rutinleri ile başlar.
Kod, Bitcoin, Ethereum, Solana ve diğer büyük blok zincirlerini destekleyen popüler cüzdanlar dahil olmak üzere 56 farklı tarayıcı cüzdan uzantısından kimlik bilgilerini aramak ve çıkarmak için önceden yapılandırılmış talimatlar içerir. Özel anahtarlar, kimlik bilgileri veritabanları ve dijital sertifikalar yerel bir ön hazırlık dizinine kopyalanır ve şifreli HTTPS kanalları üzerinden komut ve kontrol sunucularına aktarılır. Pano ele geçirme işlevleri, cüzdan adreslerinin gerçek zamanlı olarak kesilmesine ve varlık transferlerinin saldırgan kontrollü adreslere yönlendirilmesine olanak tanır.
Kimlik bilgisi hırsızlığının ötesinde, ModStealer sistem keşfi, ekran yakalama ve uzaktan kod yürütme için isteğe bağlı modülleri destekler. macOS’ta kalıcılık sağlamak için LaunchAgents mekanizması kullanılırken, Windows ve Linux varyantları sırasıyla zamanlanmış görevler ve cron işleri kullanır. Kötü amaçlı yazılımın modüler mimarisi, bağlı operatörlerin hedef ortam ve istenen yük yeteneklerine göre işlevselliği özelleştirmesine olanak tanır.
Mosyle analistleri, ModStealer’ı Hizmet Olarak Kötü Amaçlı Yazılım olarak sınıflandırarak, bağlı operatörlerin yapılandırma ve dağıtım altyapısına erişim için ücret ödediğini, böylece teknik açıdan daha az yetkin tehdit aktörleri için giriş engelini düşürdüğünü belirtir. 2024’e kıyasla bu yıl %28 artan bilgi hırsızı varyantlarındaki artış, kripto para ekosisteminde yüksek değerli hedeflere karşı kullanılan ticarileşmiş kötü amaçlı yazılımların büyüyen bir eğilimini vurgulamaktadır.
Güvenlik ekipleri tarafından önerilen hafifletme stratejileri arasında kötü amaçlı reklam ağlarını engellemek için katı e-posta ve web filtreleme politikalarının uygulanması, davranış tabanlı tehdit algılama çözümlerinin dağıtılması ve güvenilmeyen NodeJS betiklerinin otomatik çalıştırılmasının devre dışı bırakılması bulunur. Tarayıcı cüzdan kullanıcılarının uzantı bütünlüğünü doğrulamaları, çevrimdışı saklanan tohum ifadelerinin güncel yedeklerini tutmaları ve yüksek değere sahip varlıklar için donanım cüzdanı çözümlerini düşünmeleri tavsiye edilir.
Şüpheli outbound bağlantılar için trafik desenlerinin sürekli izlenmesi, veri sızdırma girişimlerinin erken tespitine yardımcı olabilir. Cüzdan geliştiricileri, tarayıcı üreticileri ve güvenlik firmaları arasında koordinasyon, ModStealer’ın karartma katmanlarını yakalayabilen ve daha fazla cüzdan ihlalini önleyebilen imza ve davranış tabanlı imzaların geliştirilmesi için hayati olacaktır.
Yorumlar (0)