Обнаружение нового вредоносного ПО
В четверг был обнаружен новый штам вредоносного ПО, способный обходить антивирусные проверки и красть данные из крипто-кошельков на системах Windows, Linux и macOS. Названный ModStealer, он оставался незамеченным основными антивирусными движками почти месяц на момент раскрытия, а его пакет распространялся через поддельные объявления о вакансиях, нацеленные на разработчиков.
Раскрытие информации
Раскрытие было сделано компанией безопасности Mosyle, согласно первоначальному отчету от 9to5Mac. Decrypt связался с Mosyle, чтобы узнать больше. Распространение через поддельные объявления о вакансиях было намеренной тактикой, по словам Mosyle, поскольку оно нацеливалось на разработчиков, которые, вероятно, уже использовали или имели установленные среды Node.js.
«ModStealer избегает обнаружения основными антивирусными решениями и представляет собой значительные риски для более широкой экосистемы цифровых активов», — отметил Шān Zhang, главный специалист по информационной безопасности в компании по безопасности блокчейна Slowmist, в интервью Decrypt.
Методы работы ModStealer
После выполнения вредоносное ПО сканирует расширения крипто-кошельков в браузере, системные учетные данные и цифровые сертификаты. Затем оно эксфильтрует данные на удаленные C2-серверы, объяснил Zhang. C2, или «Командный и управляющий» сервер, — это централизованная система, используемая киберпреступниками для управления и контроля скомпрометированными устройствами в сети, действующая как операционный центр для вредоносного ПО и кибератак.
На аппаратном обеспечении Apple, работающем под управлением macOS, вредоносное ПО устанавливается через «метод сохранения» для автоматического запуска каждый раз при включении компьютера, маскируясь под фоновую вспомогательную программу. Эта установка позволяет ему работать тихо, не привлекая внимания пользователя.
Признаки заражения
Признаки заражения включают секретный файл под названием .sysupdater.dat и соединения с подозрительным сервером, согласно раскрытию.
«Хотя эти методы сохранения распространены в изоляции, их сочетание с сильной обфускацией делает ModStealer устойчивым к инструментам безопасности на основе сигнатур», — добавил Zhang.
Предупреждение о безопасности
Обнаружение ModStealer произошло на фоне связанного предупреждения от технического директора Ledger Шарля Гийемета, который во вторник сообщил, что злоумышленники скомпрометировали учетную запись разработчика NPM и попытались распространить вредоносный код, который мог бы незаметно заменять адреса крипто-кошельков во время транзакций, ставя средства под угрозу на нескольких блокчейнах.
«Если ваши средства находятся в программном кошельке или на бирже, вы находитесь в одном шаге от потери всего», — написал Гийемет в твиттере через несколько часов после своего первоначального предупреждения.
Влияние на пользователей криптовалют
Спрашивая о возможном воздействии нового вредоносного ПО, Zhang предупредил, что ModStealer представляет собой прямую угрозу для пользователей криптовалют и платформ. Для конечных пользователей приватные ключи, семенные фразы и ключи API биржи могут быть скомпрометированы, что приведет к прямой потере активов.
Он добавил, что для криптоиндустрии массовая кража данных кошельков расширений браузера может вызвать крупномасштабные эксплойты в цепочке блоков, подрывая доверие и усиливая риски цепочки поставок.
