Scoperta di ModStealer: Un Nuovo Ceppo di Malware
Un nuovo ceppo di malware, in grado di eludere i controlli antivirus e rubare dati dai portafogli crypto su sistemi Windows, Linux e macOS, è stato scoperto giovedì. Chiamato ModStealer, è rimasto indetectato dai principali motori antivirus per quasi un mese al momento della divulgazione.
Modalità di Distribuzione
Il malware viene distribuito tramite annunci falsi di reclutatori di lavoro mirati a sviluppatori. La scoperta è stata effettuata dalla società di sicurezza Mosyle, secondo un rapporto iniziale di 9to5Mac. Decrypt ha contattato Mosyle per ulteriori dettagli.
La scelta di distribuire il malware tramite annunci falsi di reclutatori di lavoro è stata una tattica intenzionale, progettata per raggiungere sviluppatori che probabilmente stavano già utilizzando o avevano installato ambienti Node.js.
Caratteristiche di ModStealer
“ModStealer elude la rilevazione da parte delle soluzioni antivirus tradizionali e rappresenta rischi significativi per l’ecosistema più ampio degli asset digitali”, ha dichiarato Shān Zhang, chief information security officer della società di sicurezza blockchain Slowmist, a Decrypt.
“A differenza dei tradizionali stealer, ModStealer si distingue per il suo supporto multi-piattaforma e la catena di esecuzione furtiva ‘zero-detection’.” Una volta eseguito, il malware scansiona le estensioni dei portafogli crypto basati su browser, le credenziali di sistema e i certificati digitali. Successivamente, esfiltra i dati a server C2 remoti, ha spiegato Zhang.
Funzionamento e Persistenza
Un server C2, o “Command and Control”, è un sistema centralizzato utilizzato dai criminali informatici per gestire e controllare i dispositivi compromessi in una rete, fungendo da hub operativo per malware e attacchi informatici. Su hardware Apple che esegue macOS, il malware si installa tramite un “metodo di persistenza” per avviarsi automaticamente ogni volta che il computer si accende, mascherandosi come un programma di supporto in background.
L’installazione lo mantiene in esecuzione silenziosamente, senza che l’utente se ne accorga. I segni di infezione includono un file segreto chiamato .sysupdater.dat e connessioni a un server sospetto, secondo la divulgazione.
“Sebbene comuni in isolamento, questi metodi di persistenza, combinati con una forte offuscazione, rendono ModStealer resistente agli strumenti di sicurezza basati su firme”, ha affermato Zhang.
Implicazioni per la Sicurezza
La scoperta di ModStealer arriva dopo un avviso correlato del CTO di Ledger, Charles Guillemet, che ha rivelato martedì che gli attaccanti avevano compromesso un account di sviluppatore NPM e tentato di diffondere codice malevolo che potrebbe silenziosamente sostituire gli indirizzi dei portafogli crypto durante le transazioni, mettendo a rischio i fondi su più blockchain.
Sebbene l’attacco sia stato rilevato precocemente e sia fallito, Guillemet ha successivamente notato che i pacchetti compromessi erano stati collegati a Ethereum, Solana e altre catene.
“Se i tuoi fondi sono in un portafoglio software o su un exchange, sei a un’esecuzione di codice dalla perdita di tutto”, ha twittato Guillemet poche ore dopo il suo avviso iniziale.
Interrogato sull’impatto possibile del nuovo malware, Zhang ha avvertito che ModStealer rappresenta una “minaccia diretta” per gli utenti crypto e le piattaforme. Per gli utenti finali, “le chiavi private, le frasi seed e le chiavi API degli exchange potrebbero essere compromesse, con conseguente perdita diretta di asset”, ha affermato Zhang, aggiungendo che per l’industria crypto, “il furto di massa dei dati dei portafogli delle estensioni del browser potrebbe innescare exploit su larga scala on-chain, erodendo la fiducia e amplificando i rischi della catena di approvvigionamento.”
