一种名为ModStealer的新型恶意软件已成为基于浏览器的加密货币钱包的重大威胁,利用复杂的混淆技术绕过基于签名的杀毒防御。Mosyle的安全研究人员报告称,ModStealer在近一个月内未被发现,期间积极针对包括Windows、Linux和macOS在内的主要操作系统上的钱包扩展进行攻击。
ModStealer的主要传播途径是恶意招聘广告,诱使开发者下载感染的有效载荷。恶意软件执行后,采用高度混淆的NodeJS脚本,通过隐藏可识别的代码模式躲避传统杀毒引擎。执行始于动态解包例程,在内存中重建核心数据窃取模块,最大限度减少磁盘痕迹和取证指示物。
代码内置预配置指令,用于搜索并提取56个不同浏览器钱包扩展中的凭证,包括支持比特币、以太坊、Solana及其他主要区块链的流行钱包。私钥、凭证数据库和数字证书在被发送至指挥控制服务器的加密HTTPS通道之前,会被复制到本地暂存目录。剪贴板劫持功能可实时拦截钱包地址,重定向资产转移到攻击者控制的地址。
除凭证窃取外,ModStealer支持系统侦察、屏幕截取和远程代码执行的可选模块。在macOS上,利用LaunchAgents机制实现持久性,而Windows和Linux版本则分别利用计划任务和cron作业。该恶意软件的模块化架构允许关联运营商根据目标环境和所需有效载荷功能调整其功能。
Mosyle分析师将ModStealer归类为恶意软件即服务(Malware-as-a-Service),表明关联运营商支付费用以获取构建和部署基础设施,降低了技术较低威胁行为者的入门门槛。今年信息窃取程序变种激增28%,相比2024年增长,凸显了针对加密货币生态系统高价值目标的商品化恶意软件趋势。
安全团队推荐的缓解策略包括严格执行电子邮件和网页过滤政策以阻止恶意广告网络,部署基于行为的威胁检测解决方案,并禁用不受信任NodeJS脚本的自动执行。浏览器钱包用户应核实扩展完整性,保持离线存储的助记词备份更新,并考虑对大量资产使用硬件钱包解决方案。
持续监测异常的出站流量和未知域名连接有助于早期发现数据外泄尝试。钱包开发者、浏览器供应商和安全公司之间的协调将是关键,以开发能够拦截ModStealer混淆层及防止进一步钱包被攻破的基于签名和行为的检测机制。
评论 (0)