Oppdagelse av ModStealer Malware
En ny malware-stamme som kan unngå antiviruskontroller og stjele data fra kryptovaluta-lommebøker på Windows, Linux og macOS systemer ble oppdaget torsdag. Kalt ModStealer, hadde den vært usett av store antivirusmotorer i nesten en måned på tidspunktet for avsløringen. Pakken ble levert gjennom falske jobbannonser rettet mot utviklere. Avsløringen ble gjort av sikkerhetsfirmaet Mosyle, ifølge en første rapport fra 9to5Mac. Decrypt har kontaktet Mosyle for å lære mer.
Distribusjon og Taktikk
Distribusjonen gjennom falske jobbannonser var en bevisst taktikk, ifølge Mosyle, fordi den var designet for å nå utviklere som sannsynligvis allerede brukte eller hadde Node.js-miljøer installert. ModStealer «unngår oppdagelse av mainstream antivirusløsninger og utgjør betydelige risikoer for det bredere digitale eiendeløkosystemet,» sa Shān Zhang, sjef for informasjonssikkerhet i blockchain-sikkerhetsfirmaet Slowmist, til Decrypt.
«I motsetning til tradisjonelle tyver, skiller ModStealer seg ut for sin støtte til flere plattformer og sin stealthy «null-detektering» utførelseskjede.»
Funksjoner og Infeksjonssymptomer
Når den er utført, skanner malware for nettleserbaserte kryptovaluta-lommebokutvidelser, systemlegitimasjoner og digitale sertifikater. Den «ekstraherer dataene til eksterne C2-servere,» forklarte Zhang. En C2, eller «Command and Control»-server, er et sentralisert system brukt av cyberkriminelle for å administrere og kontrollere kompromitterte enheter i et nettverk, og fungerer som det operative knutepunktet for malware og cyberangrep.
På Apple-maskinvare som kjører macOS, setter malware seg opp gjennom en persistensmetode for å kjøre automatisk hver gang datamaskinen starter, ved å skjule seg som et bakgrunnshjelpeprogram. Oppsettet holder det kjørende stille uten at brukeren merker det. Tegn på infeksjon inkluderer en hemmelig fil kalt .sysupdater.dat og tilkoblinger til en mistenkelig server, ifølge avsløringen.
«Selv om de er vanlige isolert, gjør disse persistensmetodene kombinert med sterk obfuskerings at ModStealer er motstandsdyktig mot signaturbaserte sikkerhetsverktøy,» sa Zhang.
Risiko for Kryptovaluta-brukere
Oppdagelsen av ModStealer kommer på hælene av en relatert advarsel fra Ledger CTO Charles Guillemet, som avslørte tirsdag at angripere hadde kompromittert en NPM-utviklerkonto og forsøkt å spre ondsinnet kode som kunne erstatte kryptovaluta-lommebokadresser under transaksjoner, og sette midler i fare på tvers av flere blockchains. Selv om angrepet ble oppdaget tidlig og mislyktes, bemerket Guillemet senere at de kompromitterte pakkene hadde vært koblet til Ethereum, Solana og andre kjeder.
«Hvis midlene dine sitter i en programvarelommebok eller på en børs, er du bare ett kodeutførelse unna å miste alt,» twitret Guillemet timer etter sin første advarsel.
Spurt om den nye malware’s mulige innvirkning, advarte Zhang om at ModStealer utgjør en direkte trussel mot kryptovaluta-brukere og plattformer. For sluttbrukere, «kan private nøkler, frøfraser og børs API-nøkler bli kompromittert, noe som resulterer i direkte tap av eiendeler,» sa Zhang, og la til at for kryptovalutaindustrien, «kan massetyveri av data fra nettleserutvidelseslommebøker utløse storskala on-chain utnyttelser, erodere tillit og forsterke risikoen i forsyningskjeden.»
