Le malware indétectable ModStealer, qui vole des cryptomonnaies, cible les portefeuilles sur Mac et Windows. Comment ModStealer cible-t-il les utilisateurs de crypto ?

Des chercheurs en cybersécurité ont identifié un nouveau malware de type infostealer conçu pour cibler les portefeuilles de cryptomonnaies et extraire des clés privées ainsi que d'autres informations sensibles sur Windows, Linux et macOS, tout en restant indétecté par les principaux moteurs antivirus.

Le malware, connu sous le nom de ModStealer, a été identifié par Mosyle, une plateforme de sécurité spécialisée dans la gestion des appareils Apple, après avoir échappé à la détection pendant plusieurs semaines par les principaux moteurs antivirus.

« Le malware est resté invisible pour tous les principaux moteurs antivirus depuis sa première apparition sur VirusTotal il y a près d’un mois », a noté Mosyle dans un rapport partagé avec 9to5Mac.

Bien que Mosyle se concentre généralement sur les menaces de sécurité liées à Mac, elle a averti que ModStealer a été conçu de manière à pouvoir également infiltrer les systèmes sous Windows et Linux. 

Il y avait également des signes indiquant qu’il aurait pu être proposé en tant que Malware-as-a-Service, permettant à des cybercriminels ayant peu de compétences techniques de le déployer sur plusieurs plateformes à l’aide d’un code malveillant prêt à l’emploi.

Le Malware-as-a-Service est un modèle commercial souterrain où des développeurs malveillants vendent ou louent des kits de malware à des affiliés en échange d’une commission ou d’un abonnement.

Comment ModStealer cible-t-il les utilisateurs de crypto ?

L’analyse de Mosyle a révélé que ModStealer était déployé via de fausses annonces de recruteurs visant principalement les développeurs. 

Ce qui rend ce malware difficile à détecter, c’est le fait qu’il a été codé à l’aide d’un « fichier JavaScript fortement obscurci » dans un environnement Node.js.

Comme les environnements Node.js sont largement utilisés par les développeurs et bénéficient souvent d’autorisations élevées lors des phases de test et de déploiement logiciel, ils représentent un point d’entrée attractif pour les attaquants.

Les développeurs sont également plus susceptibles de manipuler des identifiants sensibles, des clés d’accès et des portefeuilles crypto dans le cadre de leur travail, ce qui en fait des cibles de grande valeur.

En tant qu’infostealer, une fois que ModStealer a été livré sur le système d’une victime, son objectif principal est l’exfiltration de données. Le malware a été trouvé préchargé avec un code malveillant lui permettant de cibler au moins « 56 extensions de portefeuilles sur navigateur différentes, y compris Safari », afin de voler des clés privées de crypto, selon le rapport.

Parmi ses autres capacités, ModStealer peut récupérer des données du presse-papiers, capturer l’écran d’une victime et exécuter à distance du code malveillant sur le système ciblé, ce qui, selon Mosyle, peut donner aux acteurs malveillants « un contrôle quasi total sur les appareils infectés ».

« Ce qui rend cette découverte si alarmante, c’est la furtivité avec laquelle ModStealer opère. Un malware indétectable pose un énorme problème pour la détection basée sur les signatures, car il peut passer inaperçu sans être signalé », a-t-il ajouté.

Sur macOS, ModStealer peut s’intégrer à l’outil launchctl du système, un utilitaire intégré utilisé pour gérer les processus en arrière-plan, permettant au malware de se faire passer pour un service légitime et de s’exécuter automatiquement à chaque démarrage de l’appareil.

Mosyle a également découvert que les données extraites des systèmes victimes sont transférées vers un serveur distant basé en Finlande, lié à une infrastructure en Allemagne, probablement afin de masquer la véritable localisation des opérateurs.

La société de sécurité a exhorté les développeurs à ne pas se fier uniquement aux protections basées sur les signatures.

« [..] Les protections basées uniquement sur les signatures ne suffisent pas. Une surveillance continue, des défenses basées sur le comportement et une sensibilisation aux menaces émergentes sont essentielles pour garder une longueur d’avance sur les adversaires. »

Nouvelles menaces visant les utilisateurs crypto sur Mac et Windows

Alors que l’adoption des cryptomonnaies augmente partout dans le monde, les acteurs malveillants se concentrent de plus en plus sur l’élaboration de vecteurs d’attaque complexes pour siphonner les actifs numériques. ModStealer est loin d’être la seule menace à faire la une.

Plus tôt ce mois-ci, des chercheurs de ReversingLabs ont tiré la sonnette d’alarme concernant un malware open-source intégré dans des smart contracts Ethereum qui pourrait déployer des charges malveillantes visant les utilisateurs de crypto.