Notas Principais
- Um novo malware chamado “ModStealer” está mirando carteiras de criptomoedas em múltiplos sistemas operacionais.
- Ele se espalha por meio de anúncios falsos de recrutadores e permanece indetectável pelos principais antivírus.
- O malware pode roubar chaves privadas de 56 diferentes extensões de carteiras em navegadores.
Um novo malware multiplataforma chamado “ModStealer” está ativamente mirando carteiras de criptomoedas enquanto permanece indetectável pelos principais softwares antivírus.
Segundo relatos, o malware foi desenvolvido para roubar dados sensíveis de usuários em sistemas macOS, Windows e Linux. Ele esteve ativo por quase um mês antes de ser descoberto.
No dia 11 de setembro, detalhado primeiramente pelo 9to5Mac, uma publicação focada em produtos Apple, em conversa com a empresa de gerenciamento de dispositivos Apple, Mosyle, o ModStealer se espalha através de anúncios falsos de recrutadores direcionados a desenvolvedores.
Esse método é uma forma de engano semelhante a golpes sofisticados de engenharia social que recentemente resultaram em grandes perdas para usuários de criptomoedas.
Além das carteiras de criptomoedas, o malware também mira arquivos de credenciais, detalhes de configuração e certificados. Ele utiliza um arquivo JavaScript fortemente ofuscado, escrito com NodeJS, para evitar a detecção por ferramentas tradicionais de segurança baseadas em assinatura.
Como o ModStealer Opera
O malware estabelece persistência no macOS abusando da ferramenta launchctl da Apple, permitindo que ele rode silenciosamente em segundo plano como um LaunchAgent. Os dados são então enviados para um servidor remoto localizado na Finlândia, mas vinculado a uma infraestrutura na Alemanha, um método provavelmente utilizado para esconder a localização real do operador.
A análise da Mosyle descobriu que ele mira explicitamente 56 diferentes extensões de carteiras em navegadores, incluindo aquelas no Safari, para extrair chaves privadas, destacando a importância do uso de carteiras de criptomoedas descentralizadas e seguras.
O malware também pode capturar dados da área de transferência, tirar capturas de tela e executar código remotamente, dando aos atacantes controle quase total sobre o dispositivo infectado.
Essa descoberta segue outras recentes violações de segurança no ecossistema cripto. No início desta semana, um ataque generalizado à cadeia de suprimentos NPM tentou comprometer desenvolvedores usando e-mails falsificados para roubar credenciais.
Esse ataque tinha como objetivo sequestrar transações em múltiplas blockchains, incluindo Ethereum ETH $4 690 volatilidade 24h: 3.3% Valor de mercado: $566.28 B Vol. 24h: $36.36 B e Solana SOL $240.5 volatilidade 24h: 0.6% Valor de mercado: $130.48 B Vol. 24h: $8.99 B, trocando endereços de criptomoedas.
No entanto, ele foi amplamente contido, com os atacantes roubando apenas cerca de $1.000, uma quantia pequena se comparada a outros grandes roubos de criptomoedas, nos quais hackers conseguiram lavar e reinvestir milhões em ativos roubados.
Pesquisadores da Mosyle acreditam que o ModStealer se encaixa no perfil de uma operação de “Malware-como-Serviço” (MaaS). Esse modelo, cada vez mais popular entre cibercriminosos, envolve a venda de malwares prontos para afiliados que podem ter habilidades técnicas mínimas.
A Mosyle afirmou que a ameaça é um lembrete de que proteções baseadas apenas em assinaturas não são suficientes e que defesas baseadas em comportamento são necessárias para se antecipar a novos vetores de ataque.
