Phần mềm độc hại ModStealer đánh cắp tiền điện tử không thể bị phát hiện nhắm mục tiêu vào ví trên Mac và Windows. ModStealer nhắm mục tiêu người dùng tiền điện tử như thế nào?
Các nhà nghiên cứu an ninh mạng đã xác định được một loại phần mềm độc hại đánh cắp thông tin mới được thiết kế để nhắm mục tiêu vào ví tiền điện tử và trích xuất khóa riêng tư cùng các thông tin nhạy cảm khác trên Windows, Linux và macOS, đồng thời vẫn không bị phát hiện bởi các công cụ diệt virus lớn.
- ModStealer nhắm mục tiêu vào các ví tiền điện tử dựa trên trình duyệt.
- Phần mềm độc hại này được phát hiện hoạt động trên cả Windows, Linux và macOS.
- Các đối tượng xấu đã phát tán phần mềm độc hại thông qua các quảng cáo tuyển dụng giả mạo.
Phần mềm độc hại, được gọi là ModStealer, đã được Mosyle, một nền tảng bảo mật chuyên về quản lý thiết bị Apple, xác định sau khi nó né tránh được sự phát hiện của các công cụ diệt virus lớn trong nhiều tuần.
“Phần mềm độc hại này vẫn vô hình trước tất cả các công cụ diệt virus lớn kể từ khi xuất hiện lần đầu trên VirusTotal gần một tháng trước,” Mosyle lưu ý trong một báo cáo chia sẻ với 9to5Mac.
Mặc dù Mosyle thường tập trung vào các mối đe dọa bảo mật trên nền tảng Mac, họ đã cảnh báo rằng ModStealer được thiết kế theo cách có thể xâm nhập cả hệ thống chạy Windows và Linux.
Cũng có dấu hiệu cho thấy nó có thể đã được quảng bá như một dịch vụ Malware-as-a-Service, cho phép tội phạm mạng với kiến thức kỹ thuật tối thiểu triển khai nó trên nhiều nền tảng bằng mã độc sẵn có.
Malware-as-a-Service là một mô hình kinh doanh ngầm, trong đó các nhà phát triển phần mềm độc hại bán hoặc cho thuê bộ công cụ phần mềm độc hại cho các đối tác để đổi lấy hoa hồng hoặc phí đăng ký.
ModStealer nhắm mục tiêu người dùng crypto như thế nào?
Phân tích của Mosyle cho thấy ModStealer được triển khai thông qua các quảng cáo tuyển dụng giả mạo, chủ yếu nhắm vào các lập trình viên.
Điều khiến phần mềm độc hại này khó bị phát hiện là do nó được lập trình bằng “một tệp JavaScript bị làm rối mạnh” trong môi trường Node.js.
Vì môi trường Node.js được các lập trình viên sử dụng rộng rãi và thường được cấp quyền cao trong quá trình kiểm thử và triển khai phần mềm, nên đây là điểm xâm nhập hấp dẫn cho các kẻ tấn công.
Các lập trình viên cũng có khả năng cao hơn trong việc xử lý các thông tin xác thực nhạy cảm, khóa truy cập và ví tiền điện tử như một phần của quy trình làm việc, khiến họ trở thành mục tiêu giá trị cao.
Là một phần mềm đánh cắp thông tin, một khi ModStealer đã được chuyển đến hệ thống của nạn nhân, mục tiêu chính của nó là trích xuất dữ liệu. Báo cáo cảnh báo rằng phần mềm độc hại này đã được nạp sẵn mã độc cho phép nó nhắm mục tiêu ít nhất “56 tiện ích mở rộng ví trình duyệt khác nhau, bao gồm cả Safari,” để đánh cắp khóa riêng tư crypto.
Bên cạnh các khả năng khác, ModStealer có thể lấy dữ liệu từ clipboard, chụp màn hình của nạn nhân và thực thi mã độc từ xa trên hệ thống mục tiêu, điều mà Mosyle cảnh báo có thể cho phép các đối tượng xấu “kiểm soát gần như hoàn toàn thiết bị bị nhiễm.”
“Điều khiến phát hiện này trở nên đáng báo động là sự kín đáo mà ModStealer vận hành. Phần mềm độc hại không thể phát hiện là một vấn đề lớn đối với phương pháp phát hiện dựa trên chữ ký, vì nó có thể âm thầm hoạt động mà không bị phát hiện,” báo cáo cho biết thêm.
Trên macOS, ModStealer có thể nhúng vào công cụ launchctl của hệ thống, đây là một tiện ích tích hợp dùng để quản lý các tiến trình nền, cho phép phần mềm độc hại ngụy trang thành một dịch vụ hợp pháp và tự động chạy mỗi khi thiết bị khởi động.
Mosyle cũng phát hiện rằng dữ liệu được trích xuất từ hệ thống nạn nhân sẽ được chuyển tiếp đến một máy chủ từ xa đặt tại Phần Lan, liên kết với hạ tầng tại Đức, có thể nhằm che giấu vị trí thực sự của các đối tượng vận hành.
Công ty bảo mật này đã kêu gọi các lập trình viên không nên chỉ dựa vào các biện pháp bảo vệ dựa trên chữ ký.
“[..] Các biện pháp bảo vệ dựa trên chữ ký thôi là chưa đủ. Giám sát liên tục, phòng thủ dựa trên hành vi và nhận thức về các mối đe dọa mới nổi là điều cần thiết để đi trước các đối thủ.”
Các mối đe dọa mới nhắm vào người dùng crypto trên Mac và Windows
Khi việc ứng dụng crypto ngày càng tăng trên toàn cầu, các đối tượng tấn công ngày càng tập trung vào việc phát triển các phương thức tấn công phức tạp để chiếm đoạt tài sản số. ModStealer không phải là mối đe dọa duy nhất đang được chú ý.
Đầu tháng này, các nhà nghiên cứu tại ReversingLabs đã cảnh báo về một phần mềm độc hại mã nguồn mở được nhúng trong các hợp đồng thông minh Ethereum có thể triển khai các payload độc hại nhắm vào người dùng crypto.
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
Cobie: Giao dịch dài hạn
Crypto Twitter không muốn nghe những câu chuyện "làm giàu trong mười năm". Nhưng có lẽ đó là cách duy nhất thực sự khả thi.
Ngân hàng trung ương lần đầu tiên đưa ra định hướng quan trọng về stablecoin, thị trường sẽ đi về đâu?
Tuyên bố này sẽ không ảnh hưởng trực tiếp đến thị trường stablecoin tại Hồng Kông, nhưng sẽ mang lại tác động gián tiếp, các tổ chức đại lục sẽ thận trọng và kín đáo hơn khi tham gia vào thị trường stablecoin tại Hồng Kông.
Những năm tháng cuối đời của Charlie Munger: 99 tuổi vẫn đầu tư táo bạo, hỗ trợ người hàng xóm trẻ xây dựng đế chế bất động sản
Vài ngày trước khi qua đời, Munger đã yêu cầu gia đình rời khỏi phòng bệnh để ông có thể gọi điện cho Buffett lần cuối, hai người bạn huyền thoại đã nói lời tạm biệt cuối cùng với nhau.
Nâng cấp Nakamoto của Stacks
STX chưa bao giờ vắng mặt trong các đợt đầu cơ liên quan đến hệ sinh thái BTC trên thị trường, nhưng trước đây các đợt đầu cơ đó giống như "lâu đài trên không", không có nền móng vững chắc. Sau bản nâng cấp Nakamoto, Stacks sẽ mang lại kỳ vọng cao hơn cho thị trường thông qua hiệu suất vượt trội và sBTC.
Thịnh hành
ThêmGiá tiền điện tử
Thêm
