Novo malware ModStealer rouba chaves de criptomoedas em todos os sistemas

• O malware ModStealer rouba dados de carteiras cripto em sistemas macOS, Windows e Linux.
• Ele se espalha principalmente por meio de anúncios falsos de recrutadores usando tarefas de código JavaScript não detectadas.
• Pesquisadores alertam que ferramentas antivírus não detectam o malware, destacando a necessidade de novas defesas.

Um malware recém-descoberto chamado ModStealer está mirando usuários de cripto em macOS, Windows e Linux, ameaçando carteiras e credenciais de acesso. A empresa de segurança focada em produtos Apple, Mosyle, descobriu essa variante após perceber que ela permaneceu indetectável pelos principais mecanismos antivírus por quase um mês. Segundo fontes, o malware foi enviado ao VirusTotal, uma plataforma online que verifica arquivos em busca de conteúdo malicioso.

A Mosyle relatou que o ModStealer é projetado com código pré-carregado capaz de extrair chaves privadas, certificados, arquivos de credenciais e extensões de carteiras baseadas em navegador. A empresa descobriu lógica de direcionamento para múltiplas carteiras, incluindo aquelas instaladas em navegadores Safari e baseados em Chromium.

Os pesquisadores disseram que o ModStealer persiste no macOS ao se registrar como um agente em segundo plano. Eles rastrearam a infraestrutura de servidores do malware até a Finlândia, mas acreditam que sua rota passa pela Alemanha para ocultar a localização dos operadores.

Distribuição por meio de recrutamento enganoso

A análise revelou que o ModStealer está se espalhando por meio de anúncios falsos de recrutadores direcionados a desenvolvedores. Os atacantes enviam tarefas relacionadas a empregos com um arquivo JavaScript fortemente ofuscado, projetado para evitar detecção. Esse arquivo contém scripts pré-carregados voltados para 56 extensões de carteiras em navegadores, incluindo Safari, permitindo o roubo de chaves e dados sensíveis.

A Mosyle confirmou que sistemas Windows e Linux também são vulneráveis. Isso faz do ModStealer uma das poucas ameaças ativas com amplo alcance multiplataforma.

A empresa afirmou que o ModStealer se encaixa no perfil de Malware como Serviço (MaaS). Nesse modelo, cibercriminosos constroem kits de infostealer prontos para uso e os vendem para afiliados que podem não ter habilidades técnicas. Essa tendência acelerou os ataques em 2025, com a Jamf relatando um aumento de 28% na atividade de infostealer neste ano.

A Mosyle observou: “Para profissionais de segurança, desenvolvedores e usuários finais, isso serve como um lembrete claro de que proteções baseadas apenas em assinaturas não são suficientes. Monitoramento contínuo, defesas baseadas em comportamento e consciência sobre ameaças emergentes são essenciais para se manter à frente dos adversários.”

Capacidades em expansão dos infostealers

O ModStealer possui várias outras capacidades além de roubar extensões. Ele sequestra a área de transferência substituindo endereços de carteira copiados por aqueles pertencentes aos atacantes. Isso permite que os atacantes executem código remotamente, capturem telas ou exfiltrem arquivos. 

No macOS, o malware utiliza LaunchAgents para garantir persistência. Isso mantém o programa malicioso ativo mesmo após reinicializações do sistema, representando um risco de longo prazo para as máquinas infectadas.

A Mosyle explicou que a construção do ModStealer se assemelha bastante à estrutura de outras plataformas MaaS. Afiliados têm acesso a kits de malware completos e podem personalizar seus ataques. A empresa acrescentou que esse modelo está impulsionando a expansão dos infostealers em diferentes sistemas operacionais e setores.

No início de 2025, ataques por meio de pacotes npm maliciosos, dependências comprometidas e extensões falsas revelaram como os adversários entram em ambientes considerados confiáveis por desenvolvedores. O ModStealer, sendo o próximo passo nessa evolução, consegue se infiltrar em fluxos de trabalho aparentemente legítimos, tornando-se ainda mais difícil de detectar.

Relacionado:

Uma mudança de bugs de código para manipulação de confiança

Violações de segurança historicamente surgiram no cenário cripto devido a vulnerabilidades em contratos inteligentes ou softwares de carteira. Mas o ModStealer está envolvido em uma mudança de paradigma. Seus atacantes não estão mais apenas explorando bugs ou zero-days; eles estão sequestrando a confiança.

Eles manipulam como desenvolvedores interagem com recrutadores, assumem que ferramentas são seguras e confiam fortemente em proteções antivírus conhecidas. Essa abordagem torna o elemento humano o elo mais fraco na segurança cibernética.

Especialistas em segurança aconselham uma abordagem rigorosa. Usuários devem isolar atividades de carteira usando máquinas separadas ou ambientes virtuais. Desenvolvedores devem examinar cuidadosamente tarefas de recrutadores e investigar fontes e repositórios antes de executar qualquer código. Eles também recomendam abandonar sistemas antivírus baseados apenas em assinaturas e adotar ferramentas de detecção antivírus baseadas em comportamento, soluções EDR e monitoramento em tempo real.

Outras recomendações de especialistas incluem auditorias regulares de extensões de navegador, permissões restritas e atualizações de software. Eles argumentam que isso reduzirá a exposição à ameaça baseada no ModStealer.