Upptäckten av ModStealer
En ny malware-stam som kan undvika antiviruskontroller och stjäla data från kryptovaluta-plånböcker på Windows, Linux och macOS system har upptäckts. Den kallas ModStealer och hade förblivit oupptäckt av stora antivirusmotorer i nästan en månad vid tidpunkten för avslöjandet. Malware-paketet distribuerades genom falska jobbannonser riktade mot utvecklare. Avslöjandet gjordes av säkerhetsföretaget Mosyle, enligt en första rapport från 9to5Mac. Decrypt har kontaktat Mosyle för att få mer information.
Distribution och Taktik
Att distribuera malware genom falska jobbannonser var en avsiktlig taktik, enligt Mosyle, eftersom den var utformad för att nå utvecklare som sannolikt redan använde eller hade Node.js-miljöer installerade. ModStealer ”undviker upptäckten av mainstream antiviruslösningar och utgör betydande risker för det bredare digitala tillgångsekosystemet,” sa Shān Zhang, informationssäkerhetschef på blockchain-säkerhetsföretaget Slowmist, till Decrypt. ”Till skillnad från traditionella stjäla-program utmärker sig ModStealer för sitt stöd för flera plattformar och sin stealthy ’zero-detection’ exekveringskedja.”
Funktioner och Infektionstecken
När malware har exekverats skannar det efter webbläsarbaserade kryptovaluta-plånboks-tillägg, systemuppgifter och digitala certifikat. Det ”exfiltrerar sedan datan till avlägsna C2-servrar,” förklarade Zhang. En C2, eller ”Command and Control”-server, är ett centraliserat system som används av cyberkriminella för att hantera och kontrollera komprometterade enheter i ett nätverk och fungerar som det operativa navet för malware och cyberattacker.
På Apple-hårdvara som kör macOS installerar malware sig själv genom en persistence method för att köras automatiskt varje gång datorn startar, genom att dölja sig som ett bakgrundshjälpprogram. Denna installation gör att malware kan fortsätta att fungera tyst utan att användaren märker något. Tecken på infektion inkluderar en hemlig fil kallad .sysupdater.dat och anslutningar till en misstänkt server, enligt avslöjandet. ”Även om de är vanliga i isolering, gör dessa persistence-metoder i kombination med stark obfuskering ModStealer motståndskraftig mot signaturbaserade säkerhetsverktyg,” sa Zhang.
Risker och Varningar
Upptäckten av ModStealer kommer i kölvattnet av en relaterad varning från Ledger CTO Charles Guillemet, som avslöjade på tisdagen att angripare hade komprometterat ett NPM-utvecklarkonto och försökt sprida skadlig kod som kunde tyst ersätta kryptovaluta-plånboksadresser under transaktioner, vilket satte medel i risk över flera blockkedjor. Även om attacken upptäcktes tidigt och misslyckades, noterade Guillemet senare att de komprometterade paketen hade kopplats till Ethereum, Solana och andra kedjor.
”Om dina medel ligger i en programvaruplånbok eller på en börs, är du bara en kodexekvering bort från att förlora allt,” twittrade Guillemet timmar efter sin första varning.
När han tillfrågades om den nya malwarens möjliga påverkan varnade Zhang för att ModStealer utgör ett direkt hot mot kryptovaluta-användare och plattformar. För slutanvändare kan ”privata nycklar, seed phrases och börs-API-nycklar bli komprometterade, vilket resulterar i direkt tillgångsförlust,” sa Zhang och tillade att för kryptovaluta-industrin kan ”massstöld av data från webbläsartilläggs-plånböcker utlösa storskaliga on-chain-exploateringar, vilket urholkar förtroendet och förstärker riskerna i leveranskedjan.”
