برنامج ضار جديد يُدعى "ModStealer" يستهدف محافظ العملات الرقمية ويتجنب اكتشاف برامج مكافحة الفيروسات

ملاحظات رئيسية

• برمجية خبيثة جديدة تُدعى “ModStealer” تستهدف محافظ العملات الرقمية عبر أنظمة تشغيل متعددة.
• تنتشر من خلال إعلانات مزيفة لموظفي التوظيف ولم يتم اكتشافها من قبل محركات مكافحة الفيروسات الرئيسية.
• تستطيع البرمجية الخبيثة سرقة المفاتيح الخاصة من 56 إضافة لمحافظ العملات الرقمية على المتصفح.

برمجية خبيثة جديدة متعددة المنصات تُدعى “ModStealer” تستهدف بنشاط محافظ العملات الرقمية بينما تظل غير مكتشفة من قبل برامج مكافحة الفيروسات الرئيسية.

يُقال إن البرمجية الخبيثة مصممة لسرقة البيانات الحساسة من المستخدمين على أنظمة macOS وWindows وLinux. وكانت نشطة لما يقرب من شهر قبل اكتشافها.

في 11 سبتمبر، تم تفصيلها لأول مرة من قبل 9to5Mac، وهي منصة تركز على منتجات Apple، في محادثة مع شركة إدارة أجهزة Apple Mosyle، حيث تنتشر ModStealer من خلال إعلانات مزيفة لموظفي التوظيف تستهدف المطورين.

هذه الطريقة هي شكل من أشكال الخداع المشابه لعمليات الهندسة الاجتماعية المتطورة التي أدت مؤخرًا إلى خسائر ضخمة لمستخدمي العملات الرقمية.

إلى جانب محافظ العملات الرقمية، تستهدف البرمجية الخبيثة أيضًا ملفات بيانات الاعتماد وتفاصيل التكوين والشهادات. وتستخدم ملف JavaScript مشفر بشكل كبير مكتوب باستخدام NodeJS لتجنب اكتشافه من قبل أدوات الأمان التقليدية المعتمدة على التوقيعات.

كيف تعمل ModStealer

تؤسس البرمجية الخبيثة استمراريتها على نظام macOS من خلال استغلال أداة launchctl الخاصة بـApple، مما يسمح لها بالعمل بصمت في الخلفية كـ LaunchAgent. ثم يتم إرسال البيانات إلى خادم بعيد يقع في فنلندا لكنه مرتبط ببنية تحتية في ألمانيا، وهي طريقة يُحتمل استخدامها لإخفاء الموقع الفعلي للمشغل.

وجد تحليل Mosyle أنها تستهدف بشكل صريح 56 إضافة لمحافظ العملات الرقمية على المتصفحات، بما في ذلك تلك الموجودة على Safari، لاستخراج المفاتيح الخاصة، مما يبرز أهمية استخدام محافظ عملات رقمية لامركزية وآمنة.

يمكن للبرمجية الخبيثة أيضًا التقاط بيانات الحافظة، وأخذ لقطات شاشة، وتنفيذ تعليمات برمجية عن بُعد، مما يمنح المهاجمين سيطرة شبه كاملة على الجهاز المصاب.

يأتي هذا الاكتشاف بعد خروقات أمنية أخرى حديثة في نظام العملات الرقمية. في وقت سابق من هذا الأسبوع، حاول هجوم واسع على سلسلة توريد NPM استهداف المطورين باستخدام رسائل بريد إلكتروني مزيفة لسرقة بيانات الاعتماد.

استهدف هذا الهجوم الاستيلاء على المعاملات عبر عدة شبكات، بما في ذلك Ethereum ETH $4 690 تقلب 24 ساعة: 3.3% القيمة السوقية: $566.28 B حجم التداول 24 ساعة: $36.36 B وSolana SOL $240.5 تقلب 24 ساعة: 0.6% القيمة السوقية: $130.48 B حجم التداول 24 ساعة: $8.99 B، من خلال تبديل عناوين العملات الرقمية.

ومع ذلك، تم احتواء الهجوم إلى حد كبير، حيث سرق المهاجمون حوالي $1,000 فقط، وهو مبلغ ضئيل مقارنة بعمليات السطو الكبرى الأخرى في العملات الرقمية حيث نجح القراصنة في غسل وإعادة استثمار ملايين الدولارات من الأصول المسروقة.

يعتقد الباحثون في Mosyle أن ModStealer تتوافق مع نموذج “البرمجيات الخبيثة كخدمة” (MaaS). هذا النموذج، الذي يزداد شعبية بين مجرمي الإنترنت، يتضمن بيع برمجيات خبيثة جاهزة للوكلاء الذين قد تكون لديهم مهارات تقنية محدودة.

ذكرت Mosyle أن هذا التهديد يُعد تذكيرًا بأن الحماية المعتمدة على التوقيعات وحدها ليست كافية، وأن الدفاعات المعتمدة على السلوك ضرورية لمواكبة نواقل الهجوم الجديدة.