Невидимий шкідливий ModStealer, що краде криптовалюту, націлюється на гаманці на Mac та Windows. Як ModStealer націлюється на користувачів криптовалюти?

Дослідники з кібербезпеки ідентифікували нове шкідливе програмне забезпечення типу infostealer, яке було розроблено для атаки на cryptocurrency гаманці та викрадення приватних ключів і іншої конфіденційної інформації на Windows, Linux та macOS, залишаючись при цьому непоміченим основними антивірусними системами.

Шкідливе ПЗ, відоме як ModStealer, було ідентифіковано компанією Mosyle, платформою безпеки, що спеціалізується на управлінні пристроями Apple, після того, як воно залишалося непоміченим протягом декількох тижнів основними антивірусними системами.

“Шкідливе ПЗ залишалося невидимим для всіх основних антивірусних систем з моменту першої появи на VirusTotal майже місяць тому,” зазначили в Mosyle у звіті, яким поділилися з 9to5Mac.

Хоча Mosyle зазвичай фокусується на загрозах безпеці для Mac, компанія попередила, що ModStealer був розроблений таким чином, що може проникати і в системи на базі Windows та Linux. 

Також були ознаки того, що його могли пропонувати як Malware-as-a-Service, що дозволяє кіберзлочинцям з мінімальними технічними знаннями розгортати його на різних платформах, використовуючи готовий шкідливий код.

Malware-as-a-Service — це підпільна бізнес-модель, де розробники шкідливого ПЗ продають або здають в оренду комплекти шкідливого ПЗ афілійованим особам в обмін на комісію або абонентську плату.

Як ModStealer націлюється на користувачів криптовалюти?

Аналіз Mosyle показав, що ModStealer розповсюджувався через шкідливі оголошення про роботу рекрутерів, які в основному націлені на розробників. 

Те, що робить це шкідливе ПЗ важким для виявлення, — це те, що воно було написане з використанням “сильно заплутаного JavaScript-файлу” у середовищі Node.js.

Оскільки середовища Node.js широко використовуються розробниками і часто мають підвищені дозволи під час тестування та розгортання програмного забезпечення, вони є привабливою точкою входу для атакуючих.

Розробники також частіше працюють з конфіденційними обліковими даними, ключами доступу та криптогаманцями у своєму робочому процесі, що робить їх цінними цілями.

Як infostealer, після потрапляння ModStealer на систему жертви, його основна мета — ексфільтрація даних. У звіті зазначається, що шкідливе ПЗ було попередньо завантажене шкідливим кодом, який дозволяє йому націлюватися щонайменше на “56 різних розширень гаманців для браузерів, включаючи Safari,” щоб викрадати приватні ключі криптовалюти.

Серед інших можливостей, ModStealer може отримувати дані з буфера обміну, робити знімки екрана жертви та віддалено виконувати шкідливий код на цільовій системі, що, як попереджає Mosyle, може дати зловмисникам “майже повний контроль над інфікованими пристроями.”

“Що робить це відкриття настільки тривожним, так це прихованість, з якою працює ModStealer. Невидиме шкідливе ПЗ є величезною проблемою для захисту на основі сигнатур, оскільки воно може залишатися непоміченим без спрацювання тривоги,” додається у звіті.

На macOS ModStealer може впроваджувати себе за допомогою інструменту launchctl системи, який є вбудованою утилітою для керування фоновими процесами, дозволяючи шкідливому ПЗ маскуватися під легітимний сервіс і автоматично запускатися щоразу при старті пристрою.

Mosyle також з’ясувала, що дані, отримані з систем жертв, пересилаються на віддалений сервер у Фінляндії, який пов’язаний з інфраструктурою у Німеччині, ймовірно, для приховування справжнього місцезнаходження операторів.

Компанія з безпеки закликала розробників не покладатися виключно на захист на основі сигнатур.

“[..] Захист на основі сигнатур сам по собі недостатній. Постійний моніторинг, захист на основі поведінки та обізнаність про нові загрози є необхідними для випередження супротивників.”

Нові загрози, спрямовані на користувачів криптовалюти на Mac та Windows

Оскільки впровадження криптовалюти зростає по всьому світу, зловмисники все більше зосереджуються на розробці складних векторів атак для викрадення цифрових активів. ModStealer далеко не єдина загроза, що потрапила в заголовки новин.

На початку цього місяця дослідники з ReversingLabs підняли тривогу щодо відкритого шкідливого ПЗ, вбудованого у Ethereum смарт-контракти, яке може розгортати шкідливі навантаження, спрямовані на користувачів криптовалюти.