Ghi chú chính
- Một phần mềm độc hại mới có tên “ModStealer” nhắm mục tiêu vào ví crypto trên nhiều hệ điều hành khác nhau.
- Nó lây lan thông qua các quảng cáo tuyển dụng giả mạo và vẫn chưa bị phát hiện bởi các phần mềm diệt virus lớn.
- Phần mềm độc hại này có thể đánh cắp khóa riêng tư từ 56 tiện ích mở rộng ví trình duyệt khác nhau.
Một phần mềm độc hại đa nền tảng mới có tên “ModStealer” đang tích cực nhắm mục tiêu vào ví crypto trong khi vẫn chưa bị các phần mềm diệt virus lớn phát hiện.
Theo báo cáo, phần mềm độc hại này được xây dựng để đánh cắp dữ liệu nhạy cảm từ người dùng trên các hệ điều hành macOS, Windows và Linux. Nó đã hoạt động gần một tháng trước khi bị phát hiện.
Vào ngày 11 tháng 9, theo thông tin chi tiết đầu tiên từ 9to5Mac, một trang tin tập trung vào sản phẩm Apple, trong cuộc trò chuyện với công ty quản lý thiết bị Apple Mosyle, ModStealer lây lan thông qua các quảng cáo tuyển dụng giả mạo nhắm vào các nhà phát triển.
Phương pháp này là một hình thức lừa đảo tương tự như các chiêu trò kỹ thuật xã hội tinh vi gần đây đã khiến người dùng crypto thiệt hại lớn.
Bên cạnh ví crypto, phần mềm độc hại này còn nhắm vào các tệp thông tin đăng nhập, chi tiết cấu hình và chứng chỉ. Nó sử dụng một tệp JavaScript được làm rối mạnh mẽ viết bằng NodeJS để tránh bị các công cụ bảo mật dựa trên chữ ký truyền thống phát hiện.
Cách ModStealer hoạt động
Phần mềm độc hại này thiết lập tính liên tục trên macOS bằng cách lợi dụng công cụ launchctl của Apple, cho phép nó chạy âm thầm dưới dạng LaunchAgent. Dữ liệu sau đó được gửi đến một máy chủ từ xa đặt tại Phần Lan nhưng liên kết với cơ sở hạ tầng ở Đức, một phương pháp có thể được sử dụng để che giấu vị trí thực sự của kẻ vận hành.
Phân tích của Mosyle phát hiện rằng nó nhắm mục tiêu cụ thể vào 56 tiện ích mở rộng ví trình duyệt khác nhau, bao gồm cả trên Safari, để trích xuất khóa riêng tư, nhấn mạnh tầm quan trọng của việc sử dụng ví crypto phi tập trung an toàn.
Phần mềm độc hại này cũng có thể thu thập dữ liệu clipboard, chụp ảnh màn hình và thực thi mã từ xa, cho phép kẻ tấn công kiểm soát gần như hoàn toàn thiết bị bị nhiễm.
Phát hiện này diễn ra sau một số vụ vi phạm an ninh gần đây trong hệ sinh thái crypto. Đầu tuần này, một cuộc tấn công chuỗi cung ứng NPM trên diện rộng đã cố gắng xâm nhập các nhà phát triển bằng cách sử dụng email giả mạo để đánh cắp thông tin đăng nhập.
Cuộc tấn công đó nhằm chiếm đoạt các giao dịch trên nhiều chuỗi, bao gồm Ethereum ETH $4 690 biến động 24h: 3.3% Vốn hóa thị trường: $566.28 B Giao dịch 24h: $36.36 B và Solana SOL $240.5 biến động 24h: 0.6% Vốn hóa thị trường: $130.48 B Giao dịch 24h: $8.99 B, bằng cách hoán đổi địa chỉ crypto.
Tuy nhiên, cuộc tấn công này phần lớn đã được kiểm soát, với số tiền bị đánh cắp chỉ khoảng $1,000, một con số nhỏ so với các vụ trộm crypto lớn khác mà hacker đã rửa và tái đầu tư hàng triệu tài sản bị đánh cắp.
Các nhà nghiên cứu tại Mosyle tin rằng ModStealer phù hợp với mô hình “Malware-as-a-Service” (MaaS). Mô hình này ngày càng phổ biến với tội phạm mạng, liên quan đến việc bán phần mềm độc hại sẵn có cho các đối tác có thể có kỹ năng kỹ thuật tối thiểu.
Mosyle cho biết mối đe dọa này là lời nhắc nhở rằng chỉ dựa vào bảo vệ dựa trên chữ ký là không đủ và các biện pháp phòng thủ dựa trên hành vi là cần thiết để đi trước các phương thức tấn công mới.
