Недавно обнаруженно вредоносное ПО под названием ModStealer, которое активно атакует криптокошельки на
Технические характеристики ModStealer
- ModStealer крадет не только данные кошельков, но и содержит в себе функционал для похищения файлов учетных данных, конфигурационных данных и сертификатов.
- Это достигается благодаря сильно зашифрованному JavaScript-файлу, написанному с использованием NodeJS, что позволяет избегать обнаружения на основе сигнатур.
- На macOS вредоносное ПО получает постоянство, злоупотребляя launchctl для работы в качестве LaunchAgent.
Украденные данные отправляются на удаленный сервер в Финляндии, который связан с инфраструктурой, расположенной в Германии. Анализ от Mosyle обнаружил, что ModStealer нацелен на 56 различных расширений для браузеров с кошельками, включая Safari, для извлечения приватных ключей. Вредонос может захватывать данные буфера обмена, записывать снимки экрана и выполнять удаленный код.
Выявление и защита
Исследователи отмечают, что ModStealer имеет сходство с операцией Malware-as-a-Service и предупреждают о неэффективности защиты, основанной только на сигнатурах. Они подчеркивают необходимость поведенческой защиты для предотвращения таких угроз.
Обнаружение ModStealer произошло на фоне других недавних инцидентов, включая широко распространенную атаку на цепочку поставок NPM, направленную на компрометацию разработчиков и взлом транзакций в разных блокчейнах, таких как Ethereum и Solana. Последствия этой атаки были в значительной степени сдержаны, и убытки были ограничены.
