Масштабна загроза: новий вірус ModStealer краде криптовалютні гаманці через фальшиві вакансії

Дослідники виявили невидимий шкідливий програмний засіб, який краде криптовалютні гаманці браузерів. Нова шкідлива програма, що здатна обходити перевірки антивірусів і викрадати дані з криптогаманців на системах Windows, Linux та macOS, була виявлена в четвер.

Названа ModStealer, вона залишалася непоміченою основними антивірусними системами протягом майже місяця на момент її розкриття, а її пакет постачався через фальшиві оголошення про вакансії для розробників.

Про це повідомила інформаційна компанія Mosyle, згідно з первинним звітом від 9to5Mac. Decrypt звернувся до Mosyle за додатковою інформацією.

Розповсюдження через фальшиві оголошення про вакансії було навмисною тактикою, за словами Mosyle, оскільки вона була розроблена для досягнення розробників, які, ймовірно, вже використовували або мали встановлене середовище Node.js.

ModStealer «уникає виявлення основними антивірусними рішеннями і є значним ризиком для ширшої сфери цифрових активів», - сказав Шан Чжан, директор з інформаційної безпеки в компанії Slowmist. «На відміну від традиційних крадіїв, ModStealer вирізняється своєю багатоплатформеністю і прихованою ‘нульовою детекцією’ виконавчого ланцюга.»

Після виконання, шкідливий програмний засіб сканує на наявність розширень браузерних криптогаманців, системних даних входу та цифрових сертифікатів.

Він потім «експортує дані на віддалені C2 сервери», пояснив Чжан. C2, або «Командний і контрольний» сервер, є централізованою системою, яку використовують кіберзлочинці для управління й контролю скомпрометованими пристроями в мережі, функціонуючи як операційний центр для шкідливого програмного забезпечення та кібератак.

На апаратному забезпеченні Apple з macOS, шкідливий програмний засіб налаштовує себе через «метод стійкості» для автоматичного запуску щоразу, коли комп`ютер вмикається, маскуючись під фонову допоміжну програму.

Ця установка дає змогу працювати тихо, без помітності для користувача. Ознаки зараження включають секретний файл з назвою “.sysupdater.dat” та з`єднання з підозрілим сервером, відповідно до розкриття.

«Хоча ці методи стійкості є звичайними в ізоляції, ці методи разом зі сильною обфускацією роблять ModStealer стійким до інструментів безпеки на основі підписів», - зазначив Чзан.

Виявлення ModStealer сталося після пов`язаного попередження від CTO Ledger Шарля Гійємета, який у вівторок повідомив, що зловмисники скомпрометували обліковий запис розробника NPM і намагалися поширити шкідливий код, який міг би безшумно замінювати адреси криптогаманців під час транзакцій, ставлячи кошти під загрозу на різних блокчейнах.

Хоча атака була виявлена на ранній стадії і зазнала невдачі, Гійємє повідомив, що скомпрометовані пакети були пов`язані з Ethereum, Solana та іншими мережами.

«Якщо ваші кошти зберігаються в програмному гаманці або на біржі, ви лише за один кодовий виклик від втрати всього», - написав Гійємє за кілька годин після свого первинного попередження.

Запитуючи про можливий вплив нового шкідливого програмного забезпечення, Чзан попередив, що ModStealer є «прямою загрозою для користувачів криптовалют та платформ.»

Для кінцевих користувачів «приватні ключі, фрази для відновлення та API ключі біржі можуть бути скомпрометовані, що призведе до прямої втрати активів», - додав Чзан, зазначивши, що для криптоіндустрії «масове викрадення даних гаманців розширення браузера може спровокувати великомасштабні експлойти на ланцюгах, підриваючи довіру та посилюючи ризики у ланцюгах постачання.»