Os pesquisadores de segurança cibernética identificaram novos malware Infotealer, projetados para atingir e extrair carteiras de criptomoeda nas janelas, linux e macOS, e extrair outras informações sensíveis, sem serem detectadas pelos principais motores antivírus.
resumo
ModStealer tem como alvo as carteiras de criptografia baseadas em navegador. Descobri que o malware funciona no Windows, Linux e Maco. Os maus atores entregaram malware por meio de anúncios de recrutador de empregos falsos.
O malware conhecido como ModStealer foi identificado por Mosyle, uma plataforma de segurança especializada em gerenciamento de dispositivos Apple após várias semanas, evitando a detecção nos principais motores antivírus.
“O malware permaneceu invisível para todos os principais motores antivírus desde que apareceu pela primeira vez no Virustotal há quase um mês”, disse Mosyle em um relatório compartilhado com 9to5mac.
Mosyle geralmente se concentra nas ameaças à segurança baseadas em Mac, mas alerta que o ModStealer foi projetado para permitir que você se esgueire em sistemas com Windows e Linux.
Também houve indicações de que os cibercriminosos com experiência técnica mínima poderiam ser potencialmente promovidos como malware como serviço, permitindo que eles implantassem em várias plataformas usando código malicioso pronto para uso.
Malware como serviço é um modelo de negócios subterrâneo no qual um desenvolvedor malicioso vende ou arrenda kits de malware para afiliados e, em seguida, vende ou arrendamentos para afiliados em troca de uma taxa ou taxa de assinatura.
A análise de Mosyle revelou que o ModStealer é implantado usando anúncios maliciosos de recrutador de empregos que têm como alvo desenvolvedores principalmente.
O que dificulta a detecção de malware é o fato de ser codificado usando “arquivos JavaScript extremamente ofuscado” em um ambiente Node.js.
O ambiente Node.js é amplamente utilizado pelos desenvolvedores e geralmente permite aumentar as permissões durante o teste e implantação de software, oferecendo um ponto de entrada atraente para os atacantes.
Os desenvolvedores também provavelmente processarão credenciais sensíveis, chaves de acesso e carteiras de criptografia como parte de seu fluxo de trabalho, tornando -as um alvo valioso.
Como infotealista, quando o ModStealer é entregue ao sistema da vítima, seu principal objetivo é a remoção de dados. Descobri que o malware é pré -carregado com código malicioso que pode segmentar pelo menos “56 extensões de carteira de navegador diferentes, incluindo o Safari” para roubar chaves privadas de criptografia.
Entre outros recursos, o ModStealer pode recuperar dados da área de transferência, capturar a tela da vítima e executar o código malicioso remotamente no sistema de destino. Isso alerta que Mosyle alertou os maus atores que ele “tem controle quase completo sobre o dispositivo infectado”.
“O que torna essa descoberta tão incrível é a furtividade que o ModStealer executa. Malware indetectável pode ser silenciosamente notado sem sinalizar, o que é um grande problema para a detecção baseada em assinatura”.
No MacOS, o ModStealer pode ser incorporado na ferramenta Launchctl do sistema, um utilitário embutido usado para gerenciar processos em segundo plano, permitindo que o malware se disfarce de um serviço legítimo e executado automaticamente sempre que o dispositivo iniciar.
Mosyle também descobriu que os dados extraídos do sistema de vítimas foram transferidos para um remoto servidor baseado na Finlândia, possivelmente ligado à infraestrutura alemã, como uma maneira de obscurecer a verdadeira localização dos operadores.
A empresa de segurança instou os desenvolvedores a evitar confiar apenas na proteção baseada em assinatura.
“(..) a proteção baseada em assinatura por si só não é suficiente. A vigilância contínua, a defesa baseada em ação e a conscientização sobre novas ameaças é essencial para ficar à frente dos adversários”.
Novas ameaças direcionadas aos usuários de Mac e Windows Crypto
Com a adoção de aplicações criptográficas aumentando em todo o mundo, os atores de ameaças estão cada vez mais focados na concepção de vetores de ataque complexos em ativos digitais da Siphon. ModStealer está longe de ser a única ameaça de fazer manchetes.
No início deste mês, os pesquisadores da ReversingLabs tocaram um sino de aviso sobre malware de código aberto incorporado a contratos inteligentes do Ethereum que podem implantar cargas úteis maliciosas direcionadas a usuários de criptografia.
