Ключевые моменты
- Новое вредоносное ПО под названием “ModStealer” нацелено на криптовалютные кошельки на различных операционных системах.
- Оно распространяется через фальшивые объявления о найме и остается незамеченным основными антивирусными движками.
- Вредоносное ПО способно похищать приватные ключи из 56 различных расширений браузерных кошельков.
Новое кроссплатформенное вредоносное ПО под названием “ModStealer” активно нацелено на криптовалютные кошельки, оставаясь незамеченным основным антивирусным программным обеспечением.
Сообщается, что вредоносное ПО создано для кражи конфиденциальных данных пользователей на системах macOS, Windows и Linux. Оно было активно почти месяц до своего обнаружения.
11 сентября, впервые подробно описанное изданием 9to5Mac в разговоре с компанией по управлению устройствами Apple Mosyle, ModStealer распространяется через фальшивые объявления о найме, нацеленные на разработчиков.
Этот метод является формой обмана, схожей с изощренными схемами социальной инженерии, которые недавно привели к крупным потерям среди пользователей криптовалют.
Помимо криптовалютных кошельков, вредоносное ПО также нацелено на файлы с учетными данными, детали конфигурации и сертификаты. Оно использует сильно запутанный JavaScript-файл, написанный на NodeJS, чтобы избежать обнаружения традиционными средствами защиты на основе сигнатур.
Как работает ModStealer
Вредоносное ПО закрепляется в системе macOS, используя инструмент Apple launchctl, что позволяет ему незаметно работать в фоновом режиме как LaunchAgent. Данные затем отправляются на удалённый сервер, расположенный в Финляндии, но связанный с инфраструктурой в Германии — вероятно, для сокрытия реального местоположения оператора.
Анализ Mosyle показал, что вредоносное ПО явно нацелено на 56 различных расширений браузерных кошельков, включая те, что работают в Safari, чтобы извлекать приватные ключи, что подчеркивает важность использования безопасных децентрализованных криптовалютных кошельков.
Вредоносное ПО также может захватывать данные из буфера обмена, делать скриншоты и выполнять удалённый код, предоставляя злоумышленникам практически полный контроль над заражённым устройством.
Это открытие последовало за другими недавними инцидентами безопасности в криптоэкосистеме. Ранее на этой неделе масштабная атака на цепочку поставок NPM пыталась скомпрометировать разработчиков с помощью поддельных писем для кражи учетных данных.
Та атака была нацелена на перехват транзакций в нескольких сетях, включая Ethereum ETH $4 690 24h volatility: 3.3% Market cap: $566.28 B Vol. 24h: $36.36 B и Solana SOL $240.5 24h volatility: 0.6% Market cap: $130.48 B Vol. 24h: $8.99 B, подменяя криптовалютные адреса.
Однако атака была в основном локализована, и злоумышленникам удалось похитить лишь около $1 000 — незначительная сумма по сравнению с другими крупными криптовалютными кражами, когда хакеры успешно отмывали и реинвестировали миллионы украденных активов.
Исследователи из Mosyle считают, что ModStealer соответствует профилю “Malware-as-a-Service” (MaaS). Эта модель, набирающая популярность среди киберпреступников, предполагает продажу готового вредоносного ПО аффилированным лицам, которые могут обладать минимальными техническими навыками.
Mosyle заявила, что эта угроза напоминает: одной защиты на основе сигнатур недостаточно, и для противодействия новым вектором атак необходимы поведенческие методы защиты.
