Entdeckung einer neuen Malware-Variante
Eine neue Malware-Variante, die Antivirus-Prüfungen umgehen und Daten von Krypto-Wallets auf Windows-, Linux- und macOS-Systemen stehlen kann, wurde am Donnerstag entdeckt. Mit dem Namen ModStealer blieb sie zum Zeitpunkt der Offenlegung fast einen Monat lang von großen Antivirus-Engines unentdeckt, wobei ihr Paket über gefälschte Stellenanzeigen für Entwickler verteilt wurde. Die Offenlegung erfolgte durch die Sicherheitsfirma Mosyle, laut einem ersten Bericht von 9to5Mac. Decrypt hat sich an Mosyle gewandt, um mehr zu erfahren.
Zielgerichtete Verbreitung und Risiken
Laut Mosyle war die Verbreitung über gefälschte Stellenanzeigen eine gezielte Taktik, um Entwickler zu erreichen, die wahrscheinlich bereits Node.js-Umgebungen installiert hatten. ModStealer „umgeht die Erkennung durch gängige Antivirus-Lösungen und stellt erhebliche Risiken für das breitere digitale Vermögensökosystem dar“, sagte Shān Zhang, Chief Information Security Officer der Blockchain-Sicherheitsfirma Slowmist, gegenüber Decrypt. „Im Gegensatz zu traditionellen Stealern zeichnet sich ModStealer durch seine plattfomübergreifende Unterstützung und die heimliche ‘Null-Erkennung’-Ausführungskette aus.“
Funktionsweise der Malware
Nach der Ausführung scannt die Malware nach browserbasierten Krypto-Wallet-Erweiterungen, Systemanmeldeinformationen und digitalen Zertifikaten. Anschließend „exfiltriert sie die Daten zu entfernten C2-Servern“, erklärte Zhang. Ein C2- oder „Command and Control“-Server ist ein zentrales System, das von Cyberkriminellen verwendet wird, um kompromittierte Geräte in einem Netzwerk zu verwalten und zu steuern, und fungiert als operatives Zentrum für Malware und Cyberangriffe.
Persistenz und Anzeichen einer Infektion
Auf Apple-Hardware, die macOS ausführt, richtet sich die Malware über eine „Persistenzmethode“ ein, um bei jedem Start des Computers automatisch zu laufen, indem sie sich als Hintergrundhilfsprogramm tarnt. Diese Einrichtung sorgt dafür, dass sie leise im Hintergrund läuft, ohne dass der Benutzer es bemerkt. Anzeichen einer Infektion sind eine geheime Datei namens „.sysupdater.dat“ und Verbindungen zu einem verdächtigen Server, gemäß der Offenlegung.
„Obwohl in Isolation häufig, machen diese Persistenzmethoden in Kombination mit starker Obfuskation ModStealer widerstandsfähig gegen signaturbasierte Sicherheitswerkzeuge“, sagte Zhang.
Zusammenhang mit anderen Angriffen
Die Entdeckung von ModStealer erfolgt im Anschluss an eine verwandte Warnung des Ledger-CTO Charles Guillemet, der am Dienstag bekannt gab, dass Angreifer ein NPM-Entwicklerkonto kompromittiert und versucht hatten, bösartigen Code zu verbreiten, der Krypto-Wallet-Adressen während Transaktionen heimlich ersetzen könnte, wodurch Gelder über mehrere Blockchains hinweg gefährdet werden. Obwohl der Angriff frühzeitig erkannt und gescheitert ist, bemerkte Guillemet später, dass die kompromittierten Pakete mit Ethereum, Solana und anderen Chains verbunden waren. „Wenn Ihre Gelder in einer Software-Wallet oder an einer Börse liegen, sind Sie nur eine Codeausführung davon entfernt, alles zu verlieren“, twitterte Guillemet Stunden nach seiner ersten Warnung.
Warnung vor den Auswirkungen von ModStealer
Auf die mögliche Auswirkung der neuen Malware angesprochen, warnte Zhang, dass ModStealer eine „direkte Bedrohung für Krypto-Nutzer und Plattformen“ darstellt. Für Endbenutzer könnten „private Schlüssel, Seed-Phrasen und API-Schlüssel von Börsen kompromittiert werden, was zu einem direkten Verlust von Vermögenswerten führt“, sagte Zhang und fügte hinzu, dass für die Krypto-Industrie „der massenhafte Diebstahl von Daten aus Browsererweiterungs-Wallets großangelegte On-Chain-Exploits auslösen könnte, das Vertrauen untergräbt und die Risiken in der Lieferkette verstärkt.“
