5 Minute
Noul stealer cross-platform vizează portofelele din browser și mediile de dezvoltare
O nouă tulpină de malware discretă, numită ModStealer, a fost descoperită de cercetători în securitate; aceasta poate evita motoarele antivirus principale și poate sustrage date din portofelele crypto bazate pe browser pe Windows, macOS și Linux. Descoperirea, făcută publică de firma de securitate pentru endpoint Mosyle și relatată de 9to5Mac, evidențiază o amenințare reînnoită în lanțul de aprovizionare și prin inginerie socială pentru utilizatorii și dezvoltatorii de criptomonede.
Modul în care se răspândește ModStealer
Analiza Mosyle indică faptul că vectorul de atac pornește de la anunțuri false ale recrutorilor care vizează în mod intenționat dezvoltatorii. Momeala este bine aleasă: dezvoltatorii au adesea runtime-uri Node.js și unelte conexe instalate, ceea ce îi face ținte atractive pentru un payload care exploatează ecosistemele JavaScript. Installerul ModStealer este ofuscat pentru a ocoli detectarea bazată pe semnături a antivirusurilor și, potrivit rapoartelor, a rămas nedetectat de mai multe motoare importante aproape o lună după distribuire.
Ce face malware-ul
Odată executat, ModStealer efectuează o serie de pași de recunoaștere și exfiltrare adaptați ecosistemului crypto. Scanează sistemele pentru extensii de portofel din browser, căutând chei private, fraze seed, chei API ale exchange-urilor și alte acreditări. De asemenea, colectează parole de sistem și certificate digitale înainte de a trimite datele furate către servere remote de comandă și control (C2). Designul multi-platformă al malware-ului și lanțul de execuție cu „detecție zero” îl fac o amenințare deosebit de periculoasă pentru utilizatorii care se bazează pe portofele software sau extensii de browser pentru gestionarea criptomonedelor.
Pe dispozitivele macOS, ModStealer încearcă să obțină persistență înregistrându-se ca un program helper de fundal care rulează la fiecare pornire a sistemului. Mașinile infectate pot conține un fișier ascuns numit ".sysupdater.dat" și pot afișa conexiuni către servere la distanță suspecte — indicatori semnalați de Mosyle în divulgarea lor.
Implicații mai largi pentru securitatea crypto
Shān Zhang, CISO la firma de securitate blockchain Slowmist, a declarat pentru Decrypt că ModStealer reprezintă mai mult decât furtul individual: extragerea în masă a datelor din extensiile de portofel din browser ar putea permite exploatări on-chain la scară largă și eroda încrederea în aplicațiile descentralizate. Atacatorii cu acces la chei private sau fraze seed pot goli instantaneu portofelele sau pot orchestrat atacuri mai largi asupra lanțului de aprovizionare care compromit mai mulți utilizatori și servicii.
Această avertizare vine în paralel cu alerte recente de la alte echipe de securitate. CTO-ul Ledger, Charles Guillemet, a tras semnale de alarmă după ce un cont de dezvoltator NPM a fost compromis într-o tentativă de a publica pachete malițioase care pot înlocui silențios adresele de portofel în timpul tranzacțiilor. ReversingLabs a raportat, de asemenea, că unele pachete open-source erau folosite în campanii în care contractele inteligente Ethereum erau folosite pentru a distribui malware — o tactică sofisticată care estompează granița dintre vectorii de atac on-chain și off-chain.
Cine este expus riscului?
Oricine folosește portofele bazate pe browser, manageri de pachete JavaScript sau medii de dezvoltare este expus unui risc ridicat. Portofelele software și cheile stocate în extensii sunt deosebit de vulnerabile, deoarece o singură execuție de cod reușită sau un pachet compromis poate expune secrete sensibile. Exchange-urile și platformele custodiale sunt, de asemenea, expuse dacă cheile API sunt colectate.
Atenuare și recomandări
Echipele de securitate și utilizatorii individuali de crypto ar trebui să ia următoarele precauții:
- Auditați extensiile de browser instalate și eliminați modulele de portofel necunoscute sau inutile.
- Evitați instalarea de software din linkuri nesolicitate ale recrutorilor sau din pachete NPM neverificate.
- Mențineți protecția endpoint actualizată și activați monitorizarea comportamentală, nu doar antivirus bazat pe semnături.
- Păstrați sume mari în portofele hardware sau în cold storage și limitați utilizarea frazelor seed pe dispozitive conectate.
- Monitorizați indicatorii de compromitere, precum fișiere neașteptate (de ex., ".sysupdater.dat") sau conexiuni de ieșire către domenii C2 suspecte.
Divulgarea Mosyle subliniază riscurile persistente din lanțul de aprovizionare crypto: atacatorii combină ingineria socială, codul ofuscat și persistența cross-platform pentru a viza uneltele dezvoltatorilor și portofelele din browser. Utilizatorii și organizațiile ar trebui să presupună că orice execuție de cod într-un mediu de portofel software poate conduce la pierderi directe de active și să adopte apărare stratificată pentru a reduce suprafața de atac și a îmbunătăți detectarea incidentelor.
Sursa: decrypt
Comentarii