Niewykrywalne złośliwe oprogramowanie ModStealer kradnące kryptowaluty atakuje portfele na Mac i Windows. Jak ModStealer atakuje użytkowników kryptowalut?

Badacze z zakresu cyberbezpieczeństwa zidentyfikowali nowe złośliwe oprogramowanie typu infostealer, które zostało zaprojektowane do atakowania portfeli cryptocurrency oraz wykradania kluczy prywatnych i innych wrażliwych informacji na systemach Windows, Linux i macOS, pozostając jednocześnie niewykrywalnym przez główne silniki antywirusowe.

Złośliwe oprogramowanie, znane jako ModStealer, zostało zidentyfikowane przez Mosyle, platformę bezpieczeństwa specjalizującą się w zarządzaniu urządzeniami Apple, po tym jak przez tygodnie unikało wykrycia przez główne silniki antywirusowe.

„Złośliwe oprogramowanie pozostawało niewidoczne dla wszystkich głównych silników antywirusowych od momentu pojawienia się na VirusTotal niemal miesiąc temu” – zauważył Mosyle w raporcie udostępnionym 9to5Mac.

Chociaż Mosyle zazwyczaj koncentruje się na zagrożeniach bezpieczeństwa dotyczących Mac, ostrzegł, że ModStealer został zaprojektowany w taki sposób, że może również infiltrować systemy oparte na Windows i Linux. 

Pojawiły się także oznaki, że mógł być oferowany jako Malware-as-a-Service, co pozwala cyberprzestępcom o minimalnych umiejętnościach technicznych wdrażać go na wielu platformach, korzystając z gotowego złośliwego kodu.

Malware-as-a-Service to podziemny model biznesowy, w którym złośliwi deweloperzy sprzedają lub wynajmują zestawy malware partnerom w zamian za prowizję lub opłatę abonamentową.

Jak ModStealer atakuje użytkowników crypto?

Analiza Mosyle wykazała, że ModStealer był wdrażany za pomocą złośliwych ogłoszeń rekrutacyjnych, które głównie celowały w deweloperów. 

To, co sprawia, że malware jest trudne do wykrycia, to fakt, że zostało napisane przy użyciu „mocno zaciemnionego pliku JavaScript” w środowisku Node.js.

Ponieważ środowiska Node.js są szeroko wykorzystywane przez deweloperów i często mają podwyższone uprawnienia podczas testowania i wdrażania oprogramowania, stanowią atrakcyjny punkt wejścia dla atakujących.

Deweloperzy są również bardziej skłonni do obsługi wrażliwych danych uwierzytelniających, kluczy dostępu i portfeli crypto w ramach swojej pracy, co czyni ich wartościowymi celami.

Jako infostealer, po dostarczeniu ModStealer na system ofiary, jego głównym celem jest eksfiltracja danych. Według raportu, malware był wstępnie załadowany złośliwym kodem, który pozwala mu atakować co najmniej „56 różnych rozszerzeń portfeli przeglądarkowych, w tym Safari”, aby kraść klucze prywatne do crypto.

Wśród innych możliwości, ModStealer może pobierać dane ze schowka, przechwytywać ekran ofiary oraz zdalnie wykonywać złośliwy kod na docelowym systemie, co – jak ostrzega Mosyle – może dać cyberprzestępcom „niemal pełną kontrolę nad zainfekowanymi urządzeniami”.

„To, co czyni to odkrycie tak niepokojącym, to skrytość działania ModStealer. Niewykrywalne malware stanowi ogromny problem dla detekcji opartej na sygnaturach, ponieważ może pozostać niezauważone bez wzbudzania alarmu” – dodano.

Na macOS ModStealer może osadzić się przy użyciu narzędzia launchctl systemu, które jest wbudowanym narzędziem do zarządzania procesami w tle, pozwalając malware podszywać się pod legalną usługę i automatycznie uruchamiać przy każdym starcie urządzenia.

Mosyle odkrył również, że dane wyekstrahowane z systemów ofiar są przekazywane na zdalny serwer zlokalizowany w Finlandii, powiązany z infrastrukturą w Niemczech, prawdopodobnie w celu ukrycia prawdziwej lokalizacji operatorów.

Firma zajmująca się bezpieczeństwem zaapelowała do deweloperów, aby nie polegali wyłącznie na ochronie opartej na sygnaturach.

„[..] Ochrona oparta wyłącznie na sygnaturach to za mało. Ciągły monitoring, obrona oparta na zachowaniu oraz świadomość nowych zagrożeń są niezbędne, by wyprzedzić przeciwników.”

Nowe zagrożenia wymierzone w użytkowników crypto na Mac i Windows

Wraz ze wzrostem adopcji crypto na całym świecie, cyberprzestępcy coraz częściej skupiają się na opracowywaniu złożonych wektorów ataku w celu wykradania aktywów cyfrowych. ModStealer to nie jedyne zagrożenie, które trafia na nagłówki.

Na początku tego miesiąca badacze z ReversingLabs ostrzegli przed otwartoźródłowym malware osadzonym w smart kontraktach Ethereum, które mogą wdrażać złośliwe ładunki wymierzone w użytkowników crypto.