En nylig identifisert skadelig programvare, kalt ModStealer, setter brukere av kryptoaktiva i søkelyset macOS, Windows og LinuxIfølge sikkerhetsfirmaet Mosyle klarte koden å forbli nesten en måned uten å vekke mistanke etter å ha blitt lastet opp til VirusTotal, et tidsvindu som gjør det klart at signaturbaserte forsvar er for sent ute.
Målet med trusselen er eksfiltrere legitimasjon og tomme lommebøker, med særlig fokus på nettleserutvidelser. For å snike seg inn bruker angripere falske jobbtilbud rettet mot utviklere, et agn som oppmuntrer til kjøring av et sterkt tilslørt NodeJS-skript som er i stand til å omgå tradisjonelle antivirusmotorer.
Hva er ModStealer og hvordan fungerer det?
ModStealer er en informasjonstyv designet for å stjele sensitive data. Når den er kjørt, kan den fange opp utklippstavlen, utføre skjermbilder y godta utførelsen av eksterne kommandoer, noe som gir operatørene omfattende kontroll over det kompromitterte utstyret; dette er ingen liten bragd for alle som forvalter midler på daglig basis.
Skadevaren bruker en Dyp obfuskasjon i JavaScript/NodeJS å unngå signaturbaserte motorer, noe som forklarer den langvarige snikingen. I tillegg er rekkevidden kryssplattform, slik at den kan fungere på samme måte i Apple-, Microsoft- og Linux-miljøer uten for mye friksjon.
På nettlesernivå har forskere observert en spesifikk logikk mot 56 lommebokutvidelser (inkludert Safari og Chromium-baserte alternativer) som tar sikte på å utvinne private nøkler, legitimasjon, sertifikater og konfigurasjonsfiler, akkurat det som trengs for å ta kontroll over midlene.
Smitteveier og virksomheten bak dem
De oppdagede kampanjehentingene falske jobbannonser og «testoppgaver» for utviklere, en metode som ser etter team der det allerede finnes node.js og andre utviklingsverktøy, noe som reduserer hindringer for ondsinnet pakkekjøring; vær forsiktig så du ikke åpner vedlegg uten å bekrefte avsender og domene.
ModStealer passer inn i ordningen Malware-as-a-Service (MaaS): bruksklare pakker som partnere med lite erfaring kan distribuere. Denne modellen har gitt næring til spredning av infotyveri de siste månedene, og forklarer kvalitetsspranget i diskrete og målrettede kampanjer.
Funnet sammenfaller med hendelser i forsyningskjeden i NPM (pakker som colortoolsv2 og mimelib2), hvor det ble gjort et forsøk utvekslingsdestinasjonsadresser i drift på Ethereum, Solana og andre nettverk. Selv om den oppgitte effekten var begrenset (rundt 1.000 dollar) og lag som Uniswap, MetaMask, Aave, Sui, Trezor eller Lido indikerte at de ikke hadde blitt påvirket, illustrerer episoden hvordan Angripere utnytter tillit i populære arkiver.
Persistens, C2 og indikatorer, og hvordan man kan redusere
På macOS-datamaskiner garanteres varighet ved misbruk launchctl å registrere seg som LaunchAgent, slik at prosessen starter på nytt etter hver oppstart uten å tiltrekke seg brukerens oppmerksomhet. Eksfiltrering tar sikte på en Kommando- og kontrollserver (C2) arrangert i Finland, med infrastruktur rutet gjennom Tyskland å tilsløre opprinnelsen.
Blant de indikatorer på engasjement dokumentert finnes det en skjult fil som heter .sysupdater.dat, samt uvanlige utgående tilkoblinger til mistenkelige destinasjoner. Det er lurt å se gjennom oppstartsoppføringer (LaunchAgents/LaunchDaemons), planlagte oppgaver og brannmurregler for eventuell unormal aktivitet.
Når det gjelder forebygging, teller «hygienen» til lommeboken din mye: bruk maskinvare lommebøker når du kan, og bekreft destinasjonsadressen på skjermen (sjekk minst første og siste seks tegn) før godkjenning. Behold en dedikert nettleser eller enhetsprofil for lommeboken og samhandle kun med pålitelige utvidelser.
For kontosikkerhet, behold frakoblede frøfraser, aktiver flerfaktorautentisering og bruk FIDO2-tilgangsnøkler når de er tilgjengelige. Hvis du blir spurt om «testoppgaver», spør etter dem i offentlige arkiver og før de utføres, sjekk skriptene åpner dem bare i én engangs virtuell maskin ingen lommebøker, SSH-nøkler eller passordbehandlere.
Utover det klassiske antivirusprogrammet forsterker det deteksjonen med atferdsbasert overvåking og endepunkttelemetri; vedlikehold Oppdatert operativsystem, nettlesere og utvidelser reduserer angrepsflaten. Sjekk rekrutterere og domener og vær forsiktig med filer eller skript mottatt gjennom ubekreftede kanaler, spesielt hvis de er avhengige av Node.js.
Kombinasjonen av sniking, utholdenhet og plattformuavhengig påvirkning gjør ModStealer til en trussel med substans: Selv om nylige hendelser har blitt begrenset, krever trusselvektoren av falske jobber og fokuset på nettleserutvidelser at man hever standarden med solide fremgangsmåter og verktøy som ser på atferd, ikke bare signaturer.
