Aniqlanmaydigan kripto o‘g‘irlaydigan ModStealer zararli dasturi Mac va Windows’dagi hamyonlarni nishonga olmoqda. ModStealer kripto foydalanuvchilarini qanday nishonga oladi?

Kiberxavfsizlik tadqiqotchilari yangi infostealer zararli dasturini aniqladilar, u cryptocurrency hamyonlarini nishonga olib, Windows, Linux va macOS tizimlarida maxfiy kalitlar va boshqa nozik ma’lumotlarni chiqarib olish uchun ishlab chiqilgan, shu bilan birga asosiy antivirus dvigatellari tomonidan aniqlanmay qolmoqda.

ModStealer nomi bilan tanilgan zararli dastur Mosyle tomonidan aniqlangan bo‘lib, Apple qurilmalarini boshqarishga ixtisoslashgan xavfsizlik platformasi, u asosiy antivirus dvigatellari tomonidan haftalar davomida aniqlanmay qolganidan so‘ng topildi.

“Zararli dastur VirusTotal’da deyarli bir oy oldin paydo bo‘lganidan beri barcha asosiy antivirus dvigatellari uchun ko‘rinmas bo‘lib qoldi,” — deya ta’kidladi Mosyle 9to5Mac bilan bo‘lishgan hisobotida.

Mosyle odatda Mac asosidagi xavfsizlik tahdidlariga e’tibor qaratgan bo‘lsa-da, ModStealer shunday tarzda ishlab chiqilganki, u Windows va Linux tizimlariga ham kirib borishi mumkinligini ogohlantirdi. 

Shuningdek, u Malware-as-a-Service sifatida taklif qilingan bo‘lishi mumkinligi belgilar mavjud edi, bu esa texnik bilimga ega bo‘lmagan kiberjinoyatchilarga tayyor zararli koddan foydalanib uni bir nechta platformalarda ishga tushirish imkonini beradi.

Malware-as-a-Service — bu yer osti biznes modeli bo‘lib, zararli dastur ishlab chiquvchilari zararli dastur to‘plamlarini affillangan shaxslarga komissiya yoki obuna to‘lovi evaziga sotadilar yoki ijaraga beradilar.

ModStealer kripto foydalanuvchilarini qanday nishonga oladi?

Mosyle tahliliga ko‘ra, ModStealer asosan dasturchilarni nishonga oluvchi zararli ishga yollovchi reklamalari orqali tarqatilgan. 

Zararli dastur aniqlashni qiyinlashtiradigan jihati shundaki, u “juda murakkab obfuskatsiya qilingan JavaScript fayli” yordamida Node.js muhitida yozilgan.

Node.js muhitlari dasturchilar tomonidan keng qo‘llaniladi va dasturiy ta’minotni sinash va joylashtirishda ko‘pincha yuqori ruxsatlar beriladi, bu esa hujumchilar uchun jozibali kirish nuqtasini yaratadi.

Dasturchilar, shuningdek, o‘z ish jarayonida nozik ma’lumotlar, kirish kalitlari va kripto hamyonlarini boshqarish ehtimoli yuqori bo‘lgani uchun, ular yuqori qiymatli nishonlardir.

Infostealer sifatida, ModStealer qurbon tizimiga yetkazilgandan so‘ng, uning asosiy maqsadi ma’lumotlarni chiqarib olishdir. Hisobotda aytilishicha, zararli dastur oldindan zararli kod bilan yuklangan bo‘lib, u kamida “56 xil brauzer hamyon kengaytmalari, jumladan Safari” ni nishonga olib, kripto maxfiy kalitlarini o‘g‘irlash imkonini beradi.

Boshqa imkoniyatlari qatorida, ModStealer clipboard’dan ma’lumotlarni olish, qurbon ekranini suratga olish va nishon tizimda masofadan zararli kodni ishga tushirish imkoniyatiga ega, bu esa Mosyle ogohlantirishicha, yomon niyatli shaxslarga “zararlangan qurilmalarda deyarli to‘liq nazorat” beradi.

“Bu kashfiyotning juda xavotirli jihati shundaki, ModStealer juda yashirin ishlaydi. Aniqlanmaydigan zararli dastur imzo asosidagi aniqlash uchun katta muammo, chunki u jimjitlikda aniqlanmay qolishi mumkin,” — deya qo‘shimcha qilindi.

macOS tizimida ModStealer tizimning launchctl vositasi bilan birga o‘rnatilishi mumkin, bu esa fon jarayonlarini boshqarish uchun ishlatiladigan o‘rnatilgan yordamchi dastur bo‘lib, zararli dasturga o‘zini qonuniy xizmat sifatida ko‘rsatish va qurilma har safar ishga tushganda avtomatik ravishda ishga tushish imkonini beradi.

Mosyle shuningdek, qurbon tizimlardan chiqarib olingan ma’lumotlar Finlyandiyada joylashgan masofaviy serverga yuborilishini aniqladi, bu esa Germaniyadagi infratuzilma bilan bog‘langan bo‘lib, ehtimol operatorlarning haqiqiy joylashuvini yashirish uchun ishlatilgan.

Xavfsizlik kompaniyasi dasturchilarga faqat imzo asosidagi himoyaga tayanmaslikni tavsiya qildi.

“[..] Faqat imzo asosidagi himoya yetarli emas. Doimiy monitoring, xatti-harakatga asoslangan himoya va yangi tahdidlar haqida xabardorlik raqiblar oldida qolish uchun muhimdir.”

Mac va Windows kripto foydalanuvchilarini nishonga oluvchi yangi tahdidlar

Butun dunyo bo‘ylab kripto qabul qilinishi ortib borar ekan, tahdid aktorlari raqamli aktivlarni o‘g‘irlash uchun tobora murakkab hujum vektorlarini ishlab chiqishga e’tibor qaratmoqda. ModStealer sarlavhalarga chiqqan yagona tahdid emas.

Joriy oy boshida ReversingLabs tadqiqotchilari Ethereum smart-kontraktlariga joylashtirilgan ochiq manbali zararli dastur haqida ogohlantirish berdi, u kripto foydalanuvchilarini nishonga oluvchi zararli yuklamalarni ishga tushirishi mumkin.