Descubrimiento de ModStealer
Una nueva cepa de malware que puede eludir los controles antivirus y robar datos de billeteras de criptomonedas en sistemas Windows, Linux y macOS fue descubierta el jueves. Llamado ModStealer, había permanecido indetectado por los principales motores antivirus durante casi un mes al momento de su divulgación, siendo entregado a través de anuncios falsos de reclutadores de empleo dirigidos a desarrolladores.
Detalles del Malware
La divulgación fue realizada por la firma de seguridad Mosyle, según un informe inicial de 9to5Mac. Decrypt se ha puesto en contacto con Mosyle para obtener más información. Distribuirse a través de anuncios falsos de reclutadores de empleo fue una táctica intencionada, diseñada para alcanzar a desarrolladores que probablemente ya estaban utilizando o tenían entornos de Node.js instalados.
ModStealer «evita la detección por soluciones antivirus convencionales y representa riesgos significativos para el ecosistema de activos digitales en general», dijo Shān Zhang, director de seguridad de la información en la firma de seguridad blockchain Slowmist, a Decrypt. «A diferencia de los robos tradicionales, ModStealer se destaca por su soporte multiplataforma y su cadena de ejecución sigilosa de ‘cero detección’.»
Funcionamiento del Malware
Una vez ejecutado, el malware escanea extensiones de billeteras de criptomonedas basadas en navegadores, credenciales del sistema y certificados digitales. Luego, «exfiltra los datos a servidores C2 remotos», explicó Zhang. Un servidor C2, o «Comando y Control», es un sistema centralizado utilizado por ciberdelincuentes para gestionar y controlar dispositivos comprometidos en una red, actuando como el centro operativo para malware y ciberataques.
En hardware de Apple que ejecuta macOS, el malware se configura a través de un «método de persistencia» para ejecutarse automáticamente cada vez que se inicia la computadora, disfrazándose como un programa auxiliar en segundo plano. Esta configuración permite que se ejecute en silencio sin que el usuario lo note. Los signos de infección incluyen un archivo secreto llamado .sysupdater.dat y conexiones a un servidor sospechoso, según la divulgación.
«Aunque son comunes de forma aislada, estos métodos de persistencia, combinados con una fuerte ofuscación, hacen que ModStealer sea resistente contra herramientas de seguridad basadas en firmas», dijo Zhang.
Advertencias y Consecuencias
El descubrimiento de ModStealer se produce tras una advertencia relacionada del CTO de Ledger, Charles Guillemet, quien divulgó el martes que atacantes habían comprometido una cuenta de desarrollador de NPM e intentaron difundir código malicioso que podría reemplazar silenciosamente direcciones de billeteras de criptomonedas durante transacciones, poniendo en riesgo fondos en múltiples blockchains. Aunque el ataque fue detectado temprano y fracasó, Guillemet señaló más tarde que los paquetes comprometidos estaban vinculados a Ethereum, Solana y otras cadenas.
«Si tus fondos están en una billetera de software o en un intercambio, estás a una ejecución de código de perderlo todo», tuiteó Guillemet horas después de su advertencia inicial.
Al ser preguntado sobre el posible impacto del nuevo malware, Zhang advirtió que ModStealer representa una «amenaza directa» para los usuarios y plataformas de criptomonedas. Para los usuarios finales, «las claves privadas, frases semilla y claves API de intercambio pueden verse comprometidas, resultando en una pérdida directa de activos», dijo Zhang, añadiendo que para la industria de criptomonedas, «el robo masivo de datos de billeteras de extensiones de navegador podría desencadenar explotaciones en cadena a gran escala, erosionando la confianza y amplificando los riesgos de la cadena de suministro.»
