Một biến thể phần mềm độc hại mới có tên ModStealer đã xuất hiện như một mối đe dọa đáng kể đối với ví tiền điện tử dựa trên trình duyệt, tận dụng các kỹ thuật đánh lừa tinh vi để vượt qua các biện pháp phòng chống virus dựa trên chữ ký. Các nhà nghiên cứu bảo mật tại Mosyle báo cáo rằng ModStealer đã không bị phát hiện gần một tháng trong khi vẫn tích cực nhắm mục tiêu vào các tiện ích mở rộng ví trên các hệ điều hành chính, bao gồm Windows, Linux và macOS.
Phương thức phát tán chính của ModStealer liên quan đến các quảng cáo tuyển dụng việc làm độc hại nhằm lôi kéo các nhà phát triển tải xuống payload bị nhiễm. Khi được thực thi, phần mềm độc hại sử dụng các tập lệnh NodeJS được obfuscate mạnh mẽ nhằm tránh các động cơ chống virus truyền thống bằng cách ẩn các mẫu mã code nhận biết được. Việc thực thi bắt đầu với các quy trình giải nén động tái tạo module lấy dữ liệu lõi trong bộ nhớ, giảm thiểu dấu vết trên đĩa và các chỉ số pháp y cho thấy sự xâm nhập.
Mã nguồn bao gồm các hướng dẫn được cấu hình sẵn để tìm kiếm và trích xuất thông tin đăng nhập từ 56 tiện ích mở rộng ví trình duyệt khác nhau, bao gồm các ví phổ biến hỗ trợ Bitcoin, Ethereum, Solana và các blockchain lớn khác. Khóa cá nhân, cơ sở dữ liệu thông tin đăng nhập và chứng chỉ số được sao chép vào thư mục lưu trữ cục bộ trước khi bị chuyển ra ngoài đến máy chủ điều khiển qua các kênh HTTPS được mã hóa. Các chức năng đánh cắp bộ nhớ clipboard cho phép chặn địa chỉ ví, chuyển hướng các giao dịch tài sản đến các địa chỉ do kẻ tấn công kiểm soát trong thời gian thực.
Bên cạnh việc đánh cắp thông tin đăng nhập, ModStealer hỗ trợ các module tùy chọn cho việc thám thính hệ thống, chụp màn hình và thực thi mã từ xa. Trên macOS, việc cấy ghép dựa vào cơ chế LaunchAgents để duy trì sự tồn tại, trong khi các biến thể trên Windows và Linux sử dụng tác vụ theo lịch và công việc cron tương ứng. Kiến trúc module của phần mềm độc hại cho phép các đối tác điều chỉnh chức năng dựa trên môi trường mục tiêu và khả năng payload mong muốn.
Các nhà phân tích Mosyle phân loại ModStealer là Malware-as-a-Service, cho thấy các đối tác vận hành phải trả phí để truy cập vào cơ sở hạ tầng xây dựng và triển khai, làm giảm rào cản gia nhập đối với các tác nhân đe dọa có trình độ kỹ thuật thấp hơn. Sự gia tăng các biến thể infostealer trong năm nay, tăng 28% so với năm 2024, nhấn mạnh xu hướng ngày càng tăng của phần mềm độc hại được thương mại hóa nhằm nhắm vào các mục tiêu có giá trị cao trong hệ sinh thái tiền điện tử.
Chiến lược giảm thiểu được các đội ngũ bảo mật khuyến nghị bao gồm thực thi các chính sách lọc email và web nghiêm ngặt để chặn mạng quảng cáo độc hại, triển khai các giải pháp phát hiện mối đe dọa dựa trên hành vi và vô hiệu hóa tự động chạy các tập lệnh NodeJS không đáng tin cậy. Người dùng ví trình duyệt được khuyên kiểm tra tính toàn vẹn của tiện ích mở rộng, giữ các bản sao lưu cập nhật của các cụm từ seed được lưu trữ ngoại tuyến và cân nhắc sử dụng các giải pháp ví phần cứng cho các khoản tài sản giá trị lớn.
Việc theo dõi liên tục các kiểu lưu lượng cho các kết nối ra ngoài bất thường đến các miền không quen thuộc có thể giúp phát hiện sớm các nỗ lực trích xuất dữ liệu. Sự phối hợp giữa các nhà phát triển ví, nhà cung cấp trình duyệt và các công ty bảo mật sẽ rất quan trọng trong việc phát triển các chữ ký và hành vi dựa trên chữ ký nhằm chặn các lớp mã hóa của ModStealer và ngăn ngừa việc xâm nhập ví tiếp theo.
Bình luận (0)