Недавно обнаруженное вредоносное ПО, получившее название ModStealer, ставит пользователей криптоактивов в центр внимания macOS, Windows и LinuxПо данным охранной компании Mosyle, код удалось сохранить почти месяц не вызывая подозрений после загрузки на VirusTotal, временной интервал, который ясно показывает, что защита только с помощью сигнатур запоздала.
Целью угрозы является выманить учетные данные и опустошить кошельки, уделяя особое внимание расширениям браузера. Чтобы проникнуть в систему, злоумышленники используют поддельные предложения о работе направленная на разработчиков приманка, побуждающая к выполнению сильно запутанного скрипта NodeJS, способного обходить традиционные антивирусные движки.
Что такое ModStealer и как он работает?
ModStealer — это вор информации Разработан для кражи конфиденциальных данных. После запуска он может захват буфера обмена, выполнять скриншоты y принять выполнение удаленных команд, предоставляя своим операторам расширенный контроль над скомпрометированным оборудованием; это немалая задача для тех, кто ежедневно управляет финансами.
Вредоносное ПО использует Глубокая обфускация в JavaScript/NodeJS уклоняться от двигателей, работающих на основе сигнатур, что объясняет его длительную скрытность. Кроме того, его дальность действия мультиплатформенная, что позволяет ему работать одинаково в средах Apple, Microsoft и Linux без особых проблем.
На уровне браузера исследователи наблюдали специфическая логика против 56 расширений кошелька (включая варианты на базе Safari и Chromium), направленные на извлечение закрытые ключи, учетные данные, сертификаты и файлы конфигурации, как раз то, что нужно, чтобы взять под контроль средства.
Пути заражения и стоящий за ними бизнес
Обнаруженная кампания тянет поддельные объявления о работе и «тестовые задания» для разработчиков, метод, который ищет команды, где уже есть Node.js и другие инструменты разработки, снижающие препятствия для выполнения вредоносных пакетов; будьте осторожны и не открывайте вложения без проверки отправителя и домена.
ModStealer вписывается в схему Вредоносное ПО как услуга (MaaS): готовые к использованию пакеты, которые могут использовать даже партнёры с небольшим опытом. Эта модель стимулировала распространение инфокрадов за последние месяцы и объясняет скачок качества в отдельных и целевых кампаниях.
Результаты совпадают с инцидентами в цепочке поставок в NPM (пакеты типа colortoolsv2 и mimelib2), где была сделана попытка обмен адресами назначения в операциях по Эфириум, Солана и другие сети. Хотя заявленное воздействие было ограниченный (около 1.000 долларов) и такие команды, как Uniswap, MetaMask, Aave, Sui, Trezor или Lido, заявили, что они не пострадали, эпизод иллюстрирует, как Злоумышленники эксплуатируют доверие в популярных репозиториях.
Устойчивость, C2 и индикаторы, а также способы смягчения последствий
На компьютерах macOS постоянство гарантируется злоупотреблением запускctl зарегистрироваться как LaunchAgent, чтобы процесс перезапускался после каждого запуска, не привлекая внимания пользователя. Целью эксфильтрации является Сервер управления и контроля (C2) размещены в Финляндии, с инфраструктура, проходящая через Германию чтобы скрыть происхождение.
Среди индикаторы вовлеченности задокументировано, что существует скрытый файл, называемый .sysupdater.dat, а также необычные исходящие соединения с подозрительными адресами. Рекомендуется проверить записи автозагрузки (LaunchAgents/LaunchDaemons), запланированные задачи и правила брандмауэра на предмет любой аномальной активности.
Когда дело доходит до профилактики, «гигиена» ваших кошельков имеет большое значение: используйте аппаратные кошельки когда вы можете и подтвердите адрес назначения на экране (проверьте хотя бы первые и последние шесть символов) перед утверждением. Сохраните выделенный профиль браузера или устройства для кошелька и взаимодействовать только с доверенными расширениями.
Для безопасности учетной записи сохраните свой офлайн-семенные фразы, активируйте многофакторную аутентификацию и используйте Ключи доступа FIDO2 Когда они будут доступны. Если вас попросят выполнить «тестовые задания», попросите их публичные репозитории и, прежде чем казнить их, проверьте скрипты открывая их только в одном одноразовая виртуальная машина никаких кошельков, SSH-ключей или менеджеров паролей.
Помимо классического антивируса, он усиливает обнаружение с помощью мониторинг на основе поведения и телеметрия конечной точки; поддерживать Обновленные ОС, браузеры и расширения Уменьшает поверхность атаки. Проверить рекрутеры и домены и будьте осторожны с файлами или скриптами, полученными по непроверенным каналам, особенно если они основаны на Node.js.
Сочетание скрытность, настойчивость и кроссплатформенное воздействие делает ModStealer реальной угрозой: несмотря на то, что недавние инциденты удалось локализовать, вектор угрозы со стороны поддельных рабочих мест и акцент на расширениях браузера требуют повышения планки с помощью надежных методов и инструментов, которые анализируют поведение, а не только сигнатуры.
