Малвар ModStealer: нова загроза для криптогаманців на різних системах

Новий малвар ModStealer націлений на криптогаманці на різних операційних системах

Нещодавно виявлений малвар на ім`я ModStealer націлений на крипто-користувачів на системах macOS, Windows та Linux, що створює ризики для гаманців та доступу до даних.

Компанія Mosyle, що спеціалізується на безпеці Apple, виявила цей малвар, зазначивши, що він залишався повністю непоміченим основними антивірусними двигунами протягом майже місяця після завантаження на VirusTotal, онлайн-платформу, що аналізує файли на наявність шкідливого контенту.

Mosyle повідомила, що ModStealer призначений для витягування даних, з попередньо завантаженим кодом, який краде приватні ключі, сертифікати, файли авторизації та розширення гаманців у браузерах. Дослідники безпеки виявили логіку націлювання на різні гаманці, включаючи розширення на Safari та браузерах на базі Chromium.

Безпекова фірма повідомила, що малвар присутній на macOS, зловживаючи системою, щоб зареєструватися як фоновий агент. Команда зазначила, що сервер розташований у Фінляндії, але вважає, що інфраструктура маршрутизована через Німеччину, щоб приховати походження операторів.

За даними компанії, малвар поширюється через підроблені оголошення про працевлаштування, тактику, яка дедалі частіше використовується для націлювання на розробників та будівельників Web3.

Після того, як користувачі встановлюють шкідливий пакет, ModStealer вбудовується в систему і працює у фоновому режимі. Він захоплює дані з буфера обміну, робить знімки екрана та виконує віддалені команди.

Стівен Аджай, керівник технічного аудиту DApp та AI в компанії Hacken, що займається безпекою блокчейн, повідомив Cointelegraph, що зловмисні кампанії з підбору кадрів, які використовують шахрайські `тестові завдання` як механізм доставки малвару, стають все більш поширеними. Він застеріг розробників бути більш обережними, коли їх просять завантажити файли або виконати оцінку.

“Розробники повинні перевіряти легітимність рекрутерів та асоційованих доменів,” - сказав Аджай в інтерв`ю Cointelegraph. “Прошу, щоб завдання ділити через публічні репозиторії, та відкривати будь-яке завдання виключно у тимчасовій віртуальній машині без гаманців, SSH-ключів або менеджерів паролів.”

Наголошуючи на важливості ізоляції чутливих активів, Аджай порадив командам підтримувати сувору межу між їхніми середовищами розробки та зберігання гаманців.

“Чітке розмежування між середовищем розробки ‘dev box’ і середовищем гаманця ‘wallet box’ є життєво важливим,” - заявив він.

Схожі теми: Невдала експлуатація NPM підкреслює загрозу для безпеки крипти: Exec Hacken

Аджай також підкреслив важливість основної гігієни гаманця та зміцнення кінцевих точок для захисту від загроз, таких як ModStealer.

“Використовуйте апаратні гаманці та завжди підтверджуйте адреси транзакцій на дисплеї пристрою, перевіряючи принаймні перші та останні шість символів перед підтвердженням,” - порадив він.

Аджай рекомендував користувачам підтримувати спеціальний, заблокований профіль браузера або окремий пристрій виключно для діяльності з гаманцем, взаємодіючи лише з надійними розширеннями гаманців.

Для захисту облікових записів він запропонував оффлайн зберігання фраз для відновлення, мультифакторну аутентифікацію та використання ключів FIDO2, коли це можливо.