Points clés
- Un nouveau malware nommé “ModStealer” cible les portefeuilles crypto sur plusieurs systèmes d’exploitation.
- Il se propage via de fausses annonces de recruteurs et reste indétecté par les principaux moteurs antivirus.
- Le malware peut voler les clés privées de 56 extensions de portefeuilles de navigateur différentes.
Un nouveau malware multiplateforme nommé “ModStealer” cible activement les portefeuilles crypto tout en restant indétecté par les principaux logiciels antivirus.
Selon les rapports, ce malware est conçu pour voler des données sensibles auprès des utilisateurs sur macOS, Windows et Linux. Il est actif depuis près d’un mois avant sa découverte.
Le 11 septembre, détaillé pour la première fois par 9to5Mac, une publication axée sur les produits Apple, lors d’une conversation avec la société de gestion d’appareils Apple Mosyle, ModStealer se propage via de fausses annonces de recruteurs destinées aux développeurs.
Cette méthode est une forme de tromperie similaire aux escroqueries sophistiquées d’ingénierie sociale qui ont récemment entraîné d’importantes pertes pour les utilisateurs de crypto.
Au-delà des portefeuilles crypto, le malware cible également les fichiers d’identifiants, les détails de configuration et les certificats. Il utilise un fichier JavaScript fortement obscurci écrit avec NodeJS pour éviter la détection par les outils de sécurité traditionnels basés sur les signatures.
Comment fonctionne ModStealer
Le malware établit une persistance sur macOS en abusant de l’outil launchctl d’Apple, ce qui lui permet de s’exécuter silencieusement en arrière-plan en tant que LaunchAgent. Les données sont ensuite envoyées à un serveur distant situé en Finlande mais lié à une infrastructure en Allemagne, une méthode probablement utilisée pour masquer la localisation réelle de l’opérateur.
L’analyse de Mosyle a révélé qu’il cible explicitement 56 extensions de portefeuilles de navigateur différentes, y compris celles sur Safari, pour extraire les clés privées, soulignant l’importance d’utiliser des portefeuilles crypto décentralisés et sécurisés.
Le malware peut également capturer les données du presse-papiers, prendre des captures d’écran et exécuter du code à distance, donnant ainsi aux attaquants un contrôle quasi total sur l’appareil infecté.
Cette découverte fait suite à d’autres récentes violations de sécurité dans l’écosystème crypto. Plus tôt cette semaine, une vaste attaque de la chaîne d’approvisionnement NPM a tenté de compromettre des développeurs en utilisant des e-mails usurpés pour voler des identifiants.
Cette attaque visait à détourner des transactions sur plusieurs blockchains, y compris Ethereum ETH $4 690 volatilité 24h : 3,3% Capitalisation boursière : $566.28 B Vol. 24h : $36.36 B et Solana SOL $240.5 volatilité 24h : 0,6% Capitalisation boursière : $130.48 B Vol. 24h : $8.99 B, en échangeant des adresses crypto.
Cependant, elle a été largement contenue, les attaquants n’ayant volé qu’environ $1 000, une somme mineure comparée à d’autres vols majeurs de crypto où les hackers ont réussi à blanchir et réinvestir des millions d’actifs volés.
Les chercheurs de Mosyle estiment que ModStealer correspond au profil d’une opération “Malware-as-a-Service” (MaaS). Ce modèle, de plus en plus populaire auprès des cybercriminels, consiste à vendre des malwares prêts à l’emploi à des affiliés qui peuvent avoir des compétences techniques minimales.
Mosyle a déclaré que cette menace rappelle que les protections basées uniquement sur les signatures ne suffisent pas et que des défenses basées sur le comportement sont nécessaires pour anticiper de nouveaux vecteurs d’attaque.
