Незаметный вредоносный ModStealer, крадущий криптовалюту, нацелен на кошельки на Mac и Windows. Как ModStealer нацеливается на пользователей криптовалют?

Исследователи в области кибербезопасности выявили новое вредоносное ПО класса infostealer, предназначенное для атаки на cryptocurrency кошельки и кражи приватных ключей и другой конфиденциальной информации на Windows, Linux и macOS, при этом оставаясь незамеченным основными антивирусными движками.

Вредоносное ПО, известное как ModStealer, было обнаружено компанией Mosyle, платформой безопасности, специализирующейся на управлении устройствами Apple, после того как оно в течение нескольких недель избегало обнаружения основными антивирусными движками.

«Вредоносное ПО оставалось невидимым для всех основных антивирусных движков с момента первого появления на VirusTotal почти месяц назад», — отметили в Mosyle в отчёте, предоставленном 9to5Mac.

Хотя Mosyle обычно фокусируется на угрозах безопасности для Mac, компания предупредила, что ModStealer разработан таким образом, что может проникать и в системы на базе Windows и Linux. 

Также были признаки того, что вредоносное ПО могло распространяться по модели Malware-as-a-Service, что позволяет киберпреступникам с минимальными техническими знаниями использовать его на различных платформах с помощью готового вредоносного кода.

Malware-as-a-Service — это подпольная бизнес-модель, при которой разработчики вредоносного ПО продают или сдают в аренду комплекты вредоносных программ аффилированным лицам в обмен на комиссию или абонентскую плату.

Как ModStealer нацеливается на пользователей криптовалют?

Анализ Mosyle показал, что ModStealer распространялся с помощью вредоносных объявлений о найме, которые в первую очередь нацелены на разработчиков. 

Сложность обнаружения вредоносного ПО заключается в том, что оно написано с использованием «сильно запутанного JavaScript-файла» в среде Node.js.

Поскольку среды Node.js широко используются разработчиками и часто получают повышенные разрешения во время тестирования и развертывания программного обеспечения, они представляют собой привлекательную точку входа для злоумышленников.

Разработчики также чаще работают с конфиденциальными учетными данными, ключами доступа и криптокошельками в рамках своего рабочего процесса, что делает их ценными целями.

Как infostealer, после попадания ModStealer на систему жертвы его основная цель — эксфильтрация данных. В отчёте отмечается, что вредоносное ПО предварительно загружено вредоносным кодом, который позволяет ему атаковать как минимум «56 различных расширений кошельков для браузеров, включая Safari», чтобы украсть приватные ключи криптовалют.

Среди других возможностей ModStealer может извлекать данные из буфера обмена, делать снимки экрана жертвы и удалённо выполнять вредоносный код на целевой системе, что, по предупреждению Mosyle, может дать злоумышленникам «почти полный контроль над заражёнными устройствами».

«Что делает это открытие столь тревожным, так это скрытность, с которой действует ModStealer. Необнаруживаемое вредоносное ПО — огромная проблема для систем обнаружения на основе сигнатур, поскольку оно может тихо оставаться незамеченным без срабатывания тревоги», — добавили в компании.

На macOS ModStealer может интегрироваться с инструментом launchctl, который является встроенной утилитой для управления фоновыми процессами, что позволяет вредоносному ПО маскироваться под легитимный сервис и автоматически запускаться при каждом включении устройства.

Mosyle также обнаружила, что данные, извлечённые из систем жертв, пересылаются на удалённый сервер, расположенный в Финляндии, который связан с инфраструктурой в Германии, вероятно, с целью скрыть истинное местоположение операторов.

Компания по кибербезопасности призвала разработчиков не полагаться исключительно на защиту на основе сигнатур.

«[..] Одна только защита на основе сигнатур недостаточна. Необходимы постоянный мониторинг, защита на основе поведения и осведомлённость о новых угрозах, чтобы опережать противников».

Новые угрозы для пользователей криптовалют на Mac и Windows

По мере того как распространение криптовалюты растёт по всему миру, злоумышленники всё чаще разрабатывают сложные векторы атак для хищения цифровых активов. ModStealer — далеко не единственная угроза, попавшая в заголовки новостей.

В начале этого месяца исследователи из ReversingLabs предупредили об опасности вредоносного ПО с открытым исходным кодом, встроенного в смарт-контракты Ethereum, которое может развернуть вредоносные нагрузки, нацеленные на пользователей криптовалют.