Новооткрит зловреден софтуер, наречен Крадец на модове поставя под контрол потребителите на криптовалути macOS, Windows и Linux, със специален фокус върху портфейлите, базирани на браузър, и данните за вход.
Според фирмата за сигурност Mosyle, злонамереният код Той прекара почти месец, без да бъде открит от основните антивирусни системи след качването им във VirusTotal, което увеличава риска за тези, които разчитат единствено на защити, базирани на сигнатури.
Какво е ModStealer и как работи?
ModStealer е крадец на информация Целта е да изпразни портфейлите и да събира чувствителни данни. Използва скрипт. Силно обфускиран JavaScript/NodeJS да заобиколят известни сигнатури, улеснявайки тихото изпълнение и извличането на данни, без да се пораждат подозрения.
След като компютърът е компрометиран, зловредният софтуер позволява заснемане на клипборда, снимки на екрана и дистанционно изпълнение на команди, което дава на нападателите широк контрол над засегнатата система.
Изследователите също така са наблюдавали специфична логика за атакуване 56 разширения за портфейли в браузъри, включително разширения за Safari и браузъри, базирани на Chromium, с цел извличане частни ключове, сертификати и файлове с идентификационни данни.
Пътища за заразяване: фалшиви работни места, насочени към разработчици
Кампанията се разпространява чрез фалшиви обяви за работа насочени към разработчици и създатели на екосистемата Web3. В много случаи нападателите искат да попълнят „тестови задачи“ или да изтеглите уж безобидни пакети, които всъщност инсталират кода на ModStealer.
Този подход търси екипи, където вече има Node.js или подобни среди за разработка, като се максимизира вероятността за изпълнение на скриптове и се минимизират предупрежденията по време на процеса на инсталиране.
Устойчивост в macOS и инфраструктура за командване и контрол
Злоупотреби със зловреден софтуер на устройства на Apple launchctl да се регистрирам като LaunchAgent и да гарантира неговата трайност след рестартирания, интегрирайки се като фонов процес, без да привлича вниманието на потребителя.
Откраднатата информация се изпраща на сървър Командване и контрол (C2) хоствано във Финландия, въпреки че инфраструктурата изглежда преминавам през Германия да скрият истинския произход на операторите.
Признаците за компрометиране включват наличието на скрит файл „.sysupdater.dat“ и необичайни изходящи връзки към подозрителни домейни, полезни сигнали за екипите за реагиране при инциденти.
Случай на „зловреден софтуер като услуга“ в пълно разширение
Изследователите поставят ModStealer в модела Зловреден софтуер като услуга (MaaS), където разработчиците продават готови пакети на партньори с малък технически опит, улеснявайки разпространението на инфокрадци.
В същия дух, доклади от индустрията, като например тези от Jamf, сочат към значително увеличение на този вид заплахи в Mac среди, тенденция, която засилва необходимостта от контроли за сигурност отвъд простото откриване на подписи.
Въздействие върху крипто екосистемата и скорошни атаки срещу веригата за доставки
Откритието съвпада с инциденти в NPM, където злонамерени пакети (като colortoolsv2 и mimelib2) са се опитвали обмен на адреси на местоназначение в транзакции в Ethereum, Solana и други мрежи, възползвайки се от доверието на разработчиците в популярните хранилища.
След предупрежденията на главния технологичен директор на Ledger, Чарлз Гийме, прякото въздействие остана ограничено, като приблизителни загуби от 1.000 долара, и екипи като Uniswap, MetaMask, Aave, Sui, Trezor и Lido съобщават, че не са били засегнати; въпреки това епизодът показва как тези видове атаки ескалират бързо.
Практически мерки за потребители и технически екипи
Срещу заплахи като ModStealer е препоръчително да се засили хигиена на портфейла и сигурност на крайните точки, комбинирайки добри практики с мониторинг, базиран на поведението.
- Използвайте хардуерни портфейли и потвърдете адреса на местоназначението на екрана (проверете поне първите и последните шест символа).
- Поддържайте специален профил на браузъра или устройството за портфейла; взаимодействайте само с надеждни разширения.
- Запазвайте началните фрази офлайн; активирайте MFA и, където е възможно, използвайте FIDO2 пароли.
- Стриктно разделете средата за разработка („dev box“) от портфейла („wallet box“) и отворените задачи за тестване в едно виртуална машина за еднократна употреба.
- Проверете работодателите и домейните; поискайте тестовете да бъдат споделяни чрез публични хранилища.
- Прилагайте непрекъснато наблюдение и поведенческо разпознаване; поддържайте OS, браузърите и разширенията са актуални.
За разработчиците това е ключово проверете легитимността на всяко предложение за работа и бъдете внимателни с файлове или скриптове, получени чрез непроверени канали, особено ако са свързани с Node.js.
ModStealer потвърждава, че кражбата на информация се развива към по-целенасочени и дискретни кампании; комбинацията от Обфускация, персистентност и C2 Това затруднява откриването, но стратегия, която включва сегментиране на средата, хардуерни портфейли и откриване въз основа на поведение, може значително да намали повърхността за атака.
