Ключові моменти
- Новий шкідливий софт під назвою “ModStealer” націлений на криптогаманці на різних операційних системах.
- Він поширюється через фейкові оголошення про роботу рекрутерів і залишається непоміченим основними антивірусними програмами.
- Цей шкідливий софт може викрадати приватні ключі з 56 різних розширень браузерних гаманців.
Новий кросплатформний шкідливий софт під назвою “ModStealer” активно націлений на криптогаманці, залишаючись непоміченим основними антивірусними програмами.
Повідомляється, що цей шкідливий софт створений для викрадення конфіденційних даних користувачів на системах macOS, Windows та Linux. Він був активним майже місяць до його виявлення.
11 вересня, вперше детально описаний 9to5Mac у розмові з компанією Mosyle, яка займається керуванням пристроями Apple, ModStealer поширюється через фейкові оголошення про роботу рекрутерів, спрямовані на розробників.
Цей метод є формою обману, схожою на складні соціотехнічні шахрайства, які нещодавно призвели до значних втрат серед користувачів криптовалют.
Окрім криптогаманців, шкідливий софт також націлений на файли з обліковими даними, конфігураційні деталі та сертифікати. Він використовує сильно обфусцований JavaScript-файл, написаний на NodeJS, щоб уникнути виявлення традиційними інструментами безпеки, що базуються на сигнатурах.
Як працює ModStealer
Шкідливий софт забезпечує свою постійність на macOS, використовуючи інструмент Apple launchctl, що дозволяє йому тихо працювати у фоновому режимі як LaunchAgent. Дані потім надсилаються на віддалений сервер, розташований у Фінляндії, але пов’язаний з інфраструктурою у Німеччині, що, ймовірно, використовується для приховування реального місцезнаходження оператора.
Аналіз Mosyle показав, що він цілеспрямовано атакує 56 різних розширень браузерних гаманців, включаючи ті, що працюють у Safari, для вилучення приватних ключів, що підкреслює важливість використання безпечних децентралізованих криптогаманців.
Шкідливий софт також може захоплювати дані з буфера обміну, робити скріншоти та виконувати віддалений код, надаючи зловмисникам майже повний контроль над інфікованим пристроєм.
Це відкриття відбулося після інших нещодавніх порушень безпеки в криптоекосистемі. Раніше цього тижня масштабна атака на ланцюжок постачання NPM намагалася скомпрометувати розробників за допомогою підроблених електронних листів для викрадення облікових даних.
Ця атака була спрямована на викрадення транзакцій у кількох блокчейнах, включаючи Ethereum ETH $4 690 24h волатильність: 3.3% Ринкова капіталізація: $566.28 B Обсяг за 24h: $36.36 B та Solana SOL $240.5 24h волатильність: 0.6% Ринкова капіталізація: $130.48 B Обсяг за 24h: $8.99 B, шляхом підміни криптоадрес.
Однак її вдалося переважно стримати, і зловмисники викрали лише близько $1,000 — незначну суму порівняно з іншими великими криптовалютними крадіжками, коли хакерам вдавалося відмити та реінвестувати мільйони вкрадених активів.
Дослідники Mosyle вважають, що ModStealer відповідає профілю “Malware-as-a-Service” (MaaS). Ця модель, яка стає все більш популярною серед кіберзлочинців, передбачає продаж готового шкідливого софту афілійованим особам, які можуть мати мінімальні технічні навички.
Mosyle зазначає, що ця загроза є нагадуванням про те, що захист лише на основі сигнатур недостатній, і що для випередження нових векторів атак необхідні захисти, засновані на поведінці.
