El malware ModStealer, que roba criptomonedas de forma indetectable, apunta a monederos en Mac y Windows. ¿Cómo ataca ModStealer a los usuarios de criptomonedas?

Investigadores de ciberseguridad han identificado un nuevo malware infostealer que ha sido diseñado para atacar criptomonedas wallets y extraer claves privadas y otra información sensible en Windows, Linux y macOS, todo mientras permanece indetectado por los principales motores antivirus.

El malware, conocido como ModStealer, fue identificado por Mosyle, una plataforma de seguridad especializada en la gestión de dispositivos Apple, después de evadir la detección durante semanas en los principales motores antivirus.

“El malware ha permanecido invisible para todos los principales motores antivirus desde que apareció por primera vez en VirusTotal hace casi un mes”, señaló Mosyle en un informe compartido con 9to5Mac.

Aunque Mosyle normalmente se enfoca en amenazas de seguridad para Mac, ha advertido que ModStealer ha sido diseñado de tal manera que también puede infiltrarse en sistemas con Windows y Linux. 

También hubo indicios de que podría haber sido promocionado como Malware-as-a-Service, permitiendo a ciberdelincuentes con conocimientos técnicos mínimos desplegarlo en múltiples plataformas utilizando código malicioso ya preparado.

Malware-as-a-Service es un modelo de negocio clandestino donde desarrolladores maliciosos venden o arriendan kits de malware a afiliados a cambio de una comisión o cuota de suscripción.

¿Cómo apunta ModStealer a los usuarios de cripto?

El análisis de Mosyle encontró que ModStealer estaba siendo desplegado mediante anuncios maliciosos de reclutadores de empleo que apuntan principalmente a desarrolladores. 

Lo que hace que el malware sea difícil de detectar es el hecho de que ha sido programado utilizando “un archivo JavaScript fuertemente ofuscado” dentro de un entorno Node.js.

Como los entornos Node.js son ampliamente utilizados por desarrolladores y a menudo se les otorgan permisos elevados durante las pruebas y el despliegue de software, presentan un punto de entrada atractivo para los atacantes.

Los desarrolladores también son más propensos a manejar credenciales sensibles, claves de acceso y wallets de cripto como parte de su flujo de trabajo, lo que los convierte en objetivos de alto valor.

Como infostealer, una vez que ModStealer ha sido entregado al sistema de la víctima, su objetivo principal es la exfiltración de datos. Se descubrió que el malware viene precargado con código malicioso que le permite atacar al menos “56 diferentes extensiones de wallets de navegador, incluyendo Safari”, para robar claves privadas de cripto, advirtió el informe.

Entre otras capacidades, ModStealer puede recuperar datos del portapapeles, capturar la pantalla de la víctima y ejecutar código malicioso de forma remota en el sistema objetivo, lo que Mosyle advirtió que puede dar a los actores maliciosos “casi control total sobre los dispositivos infectados.”

“Lo que hace que este descubrimiento sea tan alarmante es el sigilo con el que opera ModStealer. El malware indetectable es un gran problema para la detección basada en firmas, ya que puede pasar desapercibido sin ser marcado”, añadió.

En macOS, ModStealer puede integrarse con la herramienta launchctl del sistema, que es una utilidad incorporada utilizada para gestionar procesos en segundo plano, permitiendo que el malware se disfrace como un servicio legítimo y se ejecute automáticamente cada vez que el dispositivo se inicia.

Mosyle también descubrió que los datos extraídos de los sistemas de las víctimas se envían a un servidor remoto ubicado en Finlandia, que está vinculado a infraestructura en Alemania, probablemente como una forma de ocultar la ubicación real de los operadores.

La firma de seguridad instó a los desarrolladores a no depender únicamente de protecciones basadas en firmas.

“[..] Las protecciones basadas solo en firmas no son suficientes. La monitorización continua, las defensas basadas en el comportamiento y la conciencia de las amenazas emergentes son esenciales para adelantarse a los adversarios.”

Nuevas amenazas dirigidas a usuarios de cripto en Mac y Windows

A medida que la adopción de cripto aumenta en todo el mundo, los actores maliciosos se han enfocado cada vez más en idear vectores de ataque complejos para desviar activos digitales. ModStealer está lejos de ser la única amenaza que acapara titulares.

A principios de este mes, investigadores de ReversingLabs dieron la voz de alarma sobre un malware de código abierto incrustado en contratos inteligentes de Ethereum que podría desplegar cargas maliciosas dirigidas a usuarios de cripto.