Обнаружено вредоносное ПО ModStealer, угрожающее криптокошелькам в браузерах: как оно работает и к чему это может привести

Исследователи обнаружили незаметный вредоносный софт, который выкачивает средства из криптокошельков в браузерах. Новый штамм вредоносного ПО, который может обойти антивирусные проверки и похищать данные из криптокошельков на системах Windows, Linux и macOS, был обнаружен в четверг.

Названный ModStealer, он оставался незамеченным крупными антивирусными системами почти месяц на момент раскрытия, а его пакет распространялся через поддельные объявления от рекрутеров, нацеленные на разработчиков.

Раскрытие информации было сделано компанией безопасности Mosyle, согласно первоначальному отчету от 9to5Mac. Decrypt связался с Mosyle, чтобы узнать больше.

Распространение через поддельные объявления от рекрутеров было преднамеренной тактикой, по словам Mosyle, так как оно было рассчитано на разработчиков, которые, вероятно, уже использовали или устанавливали окружения Node.js.

ModStealer «избегает обнаружения обычными антивирусными решениями и представляет собой значительный риск для более широкой экосистемы цифровых активов», сказал Шан Чжан, главный информационный директор компании по безопасности блокчейна Slowmist, в интервью Decrypt. «В отличие от традиционных краж данных, ModStealer выделяется поддержкой нескольких платформ и скрытной цепочкой выполнения с нулевым обнаружением.»

После выполнения вредоносный софт сканирует расширения для криптокошельков в браузере, системные учетные данные и цифровые сертификаты.

Затем он «эксфильтрует данные на удаленные C2 серверы», объяснил Чжан. C2, или «сервер командования и контроля», представляет собой централизованную систему, используемую киберпреступниками для управления и контроля скомпрометированными устройствами в сети, функционируя как операционный узел для вредоносного ПО и кибератак.

На аппаратном обеспечении Apple с установленной macOS вредоносный софт устанавливается через «метод постоянства», чтобы автоматически запускаться каждый раз при старте компьютера, выдавая себя за программу вспомогательного фона.

Эта установка позволяет вредоносному ПО работать незаметно для пользователя. Признаки заражения включают секретный файл под названием «.sysupdater.dat» и соединения с подозрительным сервером, согласно раскрытой информации.

«Хотя они часто встречаются по отдельности, эти методы постоянства в сочетании с сильной обфускацией делают ModStealer устойчивым к инструментам безопасности, основанным на сигнатурах»,- сказал Чжан.

Обнаружение ModStealer произошло после предупреждения от технического директора Ledger Шарля Гийемэ, который во вторник раскрыл, что злоумышленники скомпрометировали аккаунт разработчика NPM и пытались распространить вредоносный код, который мог незаметно заменить адреса криптокошельков во время транзакций, ставя средства под угрозу на нескольких блокчейнах.

Хотя атака была обнаружена на ранней стадии и провалилась, Гийемэ позже отметил, что скомпрометированные пакеты были связаны с Ethereum, Solana и другими цепочками.

«Если ваши средства находятся в программном кошельке или на бирже, вы находитесь в шаге от потери всего,» - tweeted Гийемэ через несколько часов после своего первоначального предупреждения.

Спросив о возможном влиянии нового вредоносного ПО, Чжан предупредил, что ModStealer представляет собой «прямую угрозу для пользователей криптовалют и платформ».

Для конечных пользователей «приватные ключи, фразы для восстановления и API-ключи обмена могут быть скомпрометированы, что приведет к потере активов», отметил Чжан, добавив, что для криптоиндустрии «массовая кража данных из кошельков расширений браузера может спровоцировать крупномасштабные эксплойты в блокчейне, подрывая доверие и увеличивая риски цепочек поставок».