一種名為 ModStealer 的新型惡意軟體株系已成為基於瀏覽器的加密貨幣錢包的重要威脅,利用先進的混淆技術來繞過基於簽名的防毒軟體防禦。Mosyle 的安全研究人員報告指出,ModStealer 在近一個月內保持未被發現,並積極鎖定 Windows、Linux 和 macOS 等主要作業系統上的錢包擴充功能。
ModStealer 的主要傳播途徑是透過惡意招聘廣告誘騙開發者下載被感染的載荷。執行後,該惡意軟體採用高度混淆的 NodeJS 腳本,透過隱藏可識別的代碼模式來逃避傳統防毒引擎。其執行始於動態解包程序,於記憶體中重建核心資料外洩模組,減少磁碟占用與鑑識證據。
該程式碼包含預先配置的指令,用於搜尋並提取 56 種不同瀏覽器錢包擴充功能的憑證,包括支援比特幣、以太坊、Solana 及其他主要區塊鏈的熱門錢包。私鑰、憑證資料庫及數位證書會被複製到本地暫存目錄,並透過加密的 HTTPS 通道外洩至指揮控制伺服器。剪貼簿劫持功能可攔截錢包地址,實時將資產轉移導向攻擊者控制的地址。
除了憑證竊取外,ModStealer 還支援系統偵察、畫面截取和遠端程式碼執行等選用模組。在 macOS 上,植入利用 LaunchAgents 機制以實現持久性,Windows 和 Linux 版本則分別透過排程任務和 cron 工作執行。該惡意軟體採用模組化架構,允許合作夥伴根據目標環境和所需載荷功能進行客製化。
Mosyle 分析師將 ModStealer 分類為 Malware-as-a-Service,意指合作操作者付費獲得建置及部署基礎設施,降低技術門檻,使較不熟悉技術的威脅者也能發動攻擊。今年情報竊取軟體變種較 2024 年成長 28%,凸顯針對加密貨幣生態系統高價值目標的商品化惡意軟體使用趨勢日漸增長。
安全團隊建議的緩解策略包括強化電子郵件及網路過濾政策以封鎖惡意廣告網路、部署基於行為的威脅偵測方案,以及停用不受信任的 NodeJS 腳本自動執行。瀏覽器錢包使用者應驗證擴充功能完整性,保持線下種子詞備份最新,並考慮對大額資產採用硬體錢包解決方案。
持續監控異常的外發流量模式及不熟悉域名的連線,有助於及早偵測資料外洩嘗試。錢包開發者、瀏覽器供應商與安全公司間的協作,將對開發能攔截 ModStealer 混淆層並防止進一步錢包受損的簽名及行為偵測簽名至關重要。
評論 (0)