一種新發現的惡意軟件變種名為 ModStealer,已成為基於瀏覽器的加密貨幣錢包的重要威脅,利用複雜的混淆技術來繞過基於簽名的防病毒防禦。Mosyle 的安全研究人員報告稱,ModStealer 活躍地針對主要操作系統(包括 Windows、Linux 和 macOS)上的錢包擴展,且幾乎已經長達一個月未被發現。
ModStealer 的主要傳播向量是惡意招聘廣告,誘使開發者下載被感染的payload。一旦執行,該惡意軟件會使用高度混淆的 NodeJS 腳本,以躲避傳統防病毒引擎,隱藏可識別的代碼模式。執行開始於動態解包程序,在內存中重建核心數據竊取模塊,將磁盤痕跡和鑑識指標降至最低。
代碼中包含預設指令,搜尋並提取 56 個不同瀏覽器錢包擴展中的憑證,包括支持比特幣、以太坊、Solana 及其他主要區塊鏈的熱門錢包。私鑰、憑證資料庫和數字證書會被複製到本地暫存目錄,然後通過加密的 HTTPS 通道向指揮與控制伺服器傳輸。剪貼簿劫持功能能攔截錢包地址,實時將資產轉移重定向到攻擊者控制的地址。
除了憑證竊取外,ModStealer 還支持系統偵察、截屏和遠程代碼執行的選用模塊。在 macOS 上,植入利用 LaunchAgents 機制實現持久性,而 Windows 和 Linux 版本則分別利用計劃任務和 cron 作業。該惡意軟件的模塊化架構允許聯盟根據目標環境和所需功能定制功能。
Mosyle 分析師將 ModStealer 分類為服務型惡意軟件(Malware-as-a-Service),意味著聯盟操作員支付存取構建和部署基礎設施的費用,降低技術不熟練威脅行為者的入門門檻。今年資訊竊取變種的激增,比 2024 年增加了 28%,突顯出對加密貨幣生態系統中高價值目標採用商品化惡意軟件的增長趨勢。
安全團隊建議的緩解策略包括強制執行嚴格的郵件與網絡過濾政策以阻止惡意廣告網絡,部署基於行為的威脅檢測解決方案,以及禁用不受信任 NodeJS 腳本的自動執行。瀏覽器錢包用戶建議驗證擴展完整性,保持線下種子詞的最新備份,並考慮對大額持有使用硬件錢包解決方案。
持續監控向不熟悉域名的異常外發連接流量模式,有助於早期偵測數據外洩企圖。錢包開發者、瀏覽器供應商和安全公司之間的協調,對開發能攔截 ModStealer 混淆層並防止更多錢包受損的簽名與行為特徵將至關重要。
評論 (0)