Новооткрит зловреден софтуер, наречен Крадец на модове, поставя потребителите на криптоактиви в центъра на вниманието macOS, Windows и LinuxСпоред охранителната фирма Mosyle, кодът е успял да остане почти месец без да повдига подозрения след качване във VirusTotal, времеви прозорец, който ясно показва, че защитите само с подписи са твърде закъснели.
Целта на заплахата е измъкване на идентификационни данни и празни портфейли, с особен фокус върху разширенията на браузъра. За да се промъкнат, нападателите използват фалшиви предложения за работа насочена към разработчици, стръв, която насърчава изпълнението на силно обфускиран NodeJS скрипт, способен да заобикаля традиционните антивирусни системи.
Какво е ModStealer и как работи?
ModStealer е крадец на информация предназначена да краде чувствителни данни. След като бъде изпълнена, тя може заснемане на клипборда, изпълнява снимки на екрани y приемане на изпълнението на отдалечени команди, което дава на операторите му широк контрол върху компрометираното оборудване; това не е никак лесно за всеки, който управлява средства ежедневно.
Зловредният софтуер използва Дълбоко обфускация в JavaScript/NodeJS да избегне двигателите, базирани на сигнатура, което обяснява продължителната му незабележимост. Освен това обхватът му е кръстосана платформа, което му позволява да работи по подобен начин в среди на Apple, Microsoft и Linux без прекалено много триене.
На ниво браузър, изследователите са наблюдавали специфична логика срещу 56 разширения на портфейла (включително опции, базирани на Safari и Chromium), насочени към извличане частни ключове, идентификационни данни, сертификати и конфигурационни файлове, точно това, което е необходимо, за да се поеме контролът над средствата.
Пътища за заразяване и бизнесът зад тях
Откритата кампания дърпа фалшиви обяви за работа и „тестови задачи“ за разработчици, метод, който търси екипи, където вече има Node.js и други инструменти за разработка, намалявайки пречките пред изпълнението на злонамерени пакети; внимавайте да не отваряте прикачени файлове, без да проверите подателя и домейна.
ModStealer се вписва в схемата Зловреден софтуер като услуга (MaaS)готови за употреба пакети, които могат да внедрят партньори с малък опит. Този модел е подхранвал разпространение на крадци на информация през последните месеци и обяснява скока в качеството на дискретните и целенасочени кампании.
Констатацията съвпада с инциденти във веригата за доставки в NPM (пакети като colortoolsv2 и mimelib2), където е направен опит обмен на адреси на местоназначение в операции по Ethereum, Solana и други мрежи. Въпреки че заявеното въздействие беше ограничен (около $1.000) и екипи като Uniswap, MetaMask, Aave, Sui, Trezor или Lido посочиха, че не са били засегнати, епизодът илюстрира как Нападателите злоупотребяват с доверието в популярни хранилища.
Устойчивост, C2 и индикатори, и как да се смекчат последиците
На компютри с macOS трайността е гарантирана чрез злоупотреба launchctl да се регистрирам като LaunchAgent, така че процесът да се рестартира след всяко стартиране, без да привлича вниманието на потребителя. Ексфилтрацията има за цел Сървър за командване и контрол (C2) домакин във Финландия, с инфраструктура, преминаваща през Германия да се замъгли произходът.
Сред показатели за ангажираност документирано е, че има скрит файл, наречен .sysupdater.dat, както и необичайни изходящи връзки към подозрителни дестинации. Добра идея е да прегледате записите при стартиране (LaunchAgents/LaunchDaemons), планираните задачи и правилата на защитната стена за всякаква аномална активност.
Що се отнася до превенцията, „хигиената“ на портфейлите ви е от голямо значение: използвайте хардуерни портфейли винаги когато е възможно и потвърдете адреса на дестинацията на екрана (проверете поне първите и последните шест символа) преди одобрение. Запазете специален профил на браузъра или устройството за портфейла и взаимодействайте само с надеждни разширения.
За сигурност на акаунта, запазете офлайн начални фрази, активирайте многофакторно удостоверяване и използвайте FIDO2 ключове за достъп когато са налични. Ако ви помолят за „тестови задачи“, поискайте ги в публични хранилища и преди да ги изпълнят, проверете скриптовете отварянето им само на едно виртуална машина за еднократна употреба никакви портфейли, SSH ключове или мениджъри на пароли.
Освен класическия антивирус, той подсилва откриването с мониторинг, базиран на поведение и телеметрия на крайните точки; поддържане Актуализирана операционна система, браузъри и разширения намалява повърхността на атака. Проверете рекрутери и домейни и бъдете внимателни с файлове или скриптове, получени чрез непроверени канали, особено ако те разчитат на Node.js.
Комбинацията от скритост, постоянство и междуплатформено въздействие прави ModStealer заплаха със сериозна сила: Въпреки че последните инциденти бяха овладени, векторът на заплаха от фалшиви работни места и фокусът върху разширенията на браузъра изискват повишаване на летвата със солидни практики и инструменти, които разглеждат поведението, а не само сигнатурите.
