重點摘要
- 一種名為“ModStealer”的新型惡意軟體針對多個作業系統上的加密貨幣錢包發動攻擊。
- 該惡意軟體透過假冒招聘廣告傳播,並且尚未被主流防毒引擎偵測到。
- 該惡意軟體能從56種不同的瀏覽器錢包擴充套件中竊取私鑰。
一款名為“ModStealer”的跨平台新型惡意軟體,正積極針對加密貨幣錢包發動攻擊,同時未被主流防毒軟體偵測到。
據報導,該惡意軟體專為竊取macOS、Windows和Linux系統用戶的敏感資料而設計。在被發現前,已經活躍近一個月。
9月11日,專注於Apple產品的媒體9to5Mac在與Apple設備管理公司Mosyle的對話中首次詳細報導,ModStealer是透過針對開發者的假冒招聘廣告進行傳播。
這種手法屬於一種欺騙行為,類似於近期導致大量加密貨幣用戶損失的高級社交工程詐騙。
除了加密貨幣錢包外,該惡意軟體還會鎖定憑證檔案、配置細節和憑證。它利用以NodeJS編寫且高度混淆的JavaScript檔案,來規避傳統基於簽章的安全工具偵測。
ModStealer的運作方式
該惡意軟體透過濫用Apple的launchctl工具,在macOS上建立持久性,使其能以LaunchAgent形式在背景靜默運行。資料隨後被傳送至位於芬蘭、但與德國基礎設施相關聯的遠端伺服器,此舉很可能是為了隱藏操作者的實際位置。
Mosyle的分析發現,該惡意軟體明確針對56種不同的瀏覽器錢包擴充套件(包括Safari上的擴充套件)來竊取私鑰,凸顯使用安全去中心化加密貨幣錢包的重要性。
該惡意軟體還能擷取剪貼簿資料、截圖並執行遠端程式碼,使攻擊者幾乎能完全控制受感染的裝置。
這一發現緊隨近期加密貨幣生態系統中的其他安全漏洞。就在本週早些時候,一起大規模NPM供應鏈攻擊試圖利用偽造郵件竊取開發者憑證。
該攻擊旨在透過更換加密貨幣地址,劫持多條鏈上的交易,包括Ethereum ETH $4 690 24h volatility: 3.3% Market cap: $566.28 B Vol. 24h: $36.36 B 和Solana SOL $240.5 24h volatility: 0.6% Market cap: $130.48 B Vol. 24h: $8.99 B。
然而,這次攻擊基本上被控制,攻擊者僅竊取了約1,000美元,這與其他主要加密貨幣竊案中駭客成功洗錢並再投資數百萬美元被盜資產相比,僅屬小數目。
Mosyle的研究人員認為,ModStealer符合“惡意軟體即服務”(Malware-as-a-Service, MaaS)作業模式。這種模式在網路犯罪分子中越來越受歡迎,涉及將現成的惡意軟體出售給技術能力有限的聯盟成員。
Mosyle表示,這一威脅提醒我們,僅靠基於簽章的防護措施是不夠的,還需要行為型防禦來應對新的攻擊手法。
