一种新发现的恶意软件变种名为ModStealer,已成为基于浏览器的加密货币钱包的重大威胁,利用复杂的混淆技术绕过基于签名的防病毒防御。Mosyle的安全研究人员报告称,ModStealer在近一个月内一直未被检测到,同时积极针对包括Windows、Linux和macOS在内的主要操作系统上的钱包扩展进行攻击。
ModStealer的主要传播途径涉及恶意招聘广告,诱使开发人员下载受感染的负载。一旦执行,恶意软件使用高度混淆的NodeJS脚本,隐藏可识别的代码模式,从而规避传统防病毒引擎。执行始于动态解包过程,在内存中重建核心数据窃取模块,最大限度减少磁盘占用和取证迹象。
代码包含预配置指令,搜索并提取56种不同浏览器钱包扩展的凭据,包括支持比特币、以太坊、Solana及其他主要区块链的流行钱包。私钥、凭据数据库和数字证书被复制到本地暂存目录,然后通过加密的HTTPS通道传输到指挥控制服务器。剪贴板劫持功能可实时拦截钱包地址,将资产转移重定向至攻击者控制的地址。
除凭据窃取外,ModStealer支持系统侦察、屏幕截图和远程代码执行的可选模块。在macOS上,植入利用LaunchAgents机制实现持久性,而Windows和Linux版本分别使用计划任务和cron作业。该恶意软件的模块化架构允许关联操作员根据目标环境和所需负载功能定制功能。
Mosyle分析师将ModStealer归类为恶意软件即服务(MaaS),表明关联运营商通过付费获得构建和部署基础设施的访问权限,降低了技术能力较低的威胁行为者的入门门槛。今年信息窃取变种激增28%,突显出针对加密货币生态系统高价值目标使用商品化恶意软件的增长趋势。
安全团队推荐的缓解策略包括严格执行邮件和网页过滤政策以阻断恶意广告网络,部署基于行为的威胁检测解决方案,并禁用不受信任的NodeJS脚本自动执行。浏览器钱包用户应核实扩展完整性,保持种子短语的离线备份更新,并考虑使用硬件钱包来存储大额资产。
对异常出站流量连接不熟悉域名的持续监控,有助于早期发现数据泄露尝试。钱包开发者、浏览器供应商和安全公司之间的协调对于开发能够拦截ModStealer混淆层并防止钱包进一步被攻破的基于签名和行为的检测机制至关重要。
评论 (0)