El nuevo malware ModStealer roba claves de criptomonedas en todos los sistemas
- El malware ModStealer roba datos de billeteras cripto en sistemas macOS, Windows y Linux.
- Principalmente se propaga a través de anuncios falsos de reclutadores usando tareas de código JavaScript indetectables.
- Investigadores advierten que las herramientas antivirus no detectan el malware, subrayando la necesidad de nuevas defensas.
Un malware recién descubierto llamado ModStealer está apuntando a usuarios cripto en macOS, Windows y Linux, amenazando billeteras y credenciales de acceso. La firma de seguridad enfocada en Apple, Mosyle, descubrió esta variante tras encontrar que permaneció indetectada por los principales motores antivirus durante casi un mes. Según fuentes, el malware fue subido a VirusTotal, una plataforma en línea que verifica archivos en busca de contenido malicioso.
— CryptoTale (@cryptotalemedia) 12 de septiembre de 2025
Nueva amenaza de malware: ModStealer apunta a billeteras cripto
Investigadores han descubierto ModStealer, un malware multiplataforma que evade los controles antivirus y vacía billeteras basadas en navegador. Distribuido mediante anuncios falsos de reclutadores, representa una amenaza directa para las claves privadas de los usuarios y…
Mosyle informó que ModStealer está diseñado con código precargado capaz de extraer claves privadas, certificados, archivos de credenciales y extensiones de billeteras basadas en navegador. La firma descubrió lógica de ataque para múltiples billeteras, incluidas aquellas instaladas en Safari y navegadores basados en Chromium.
Los investigadores dijeron que ModStealer persiste en macOS registrándose como un agente en segundo plano. Rastrearon la infraestructura del servidor del malware hasta Finlandia, pero creen que su ruta pasa por Alemania para ocultar la ubicación de sus operadores.
Distribución mediante reclutamiento engañoso
El análisis reveló que ModStealer se está propagando a través de anuncios falsos de reclutadores dirigidos a desarrolladores. Los atacantes envían tareas relacionadas con empleos que contienen un archivo JavaScript fuertemente ofuscado diseñado para evadir la detección. Ese archivo contiene scripts precargados dirigidos a 56 extensiones de billeteras en navegador, incluyendo Safari, permitiendo el robo de claves y datos sensibles.
Mosyle confirmó que tanto sistemas Windows como Linux también son vulnerables. Esto convierte a ModStealer en una de las pocas amenazas activas con un alcance multiplataforma tan amplio.
La firma declaró que ModStealer se alinea con el perfil de Malware-as-a-Service (MaaS). Bajo este modelo, los ciberdelincuentes construyen kits de robo de información listos para usar y los venden a afiliados que pueden carecer de habilidades técnicas. Esta tendencia ha acelerado los ataques en 2025, con Jamf reportando un aumento del 28% en la actividad de infostealers este año.
Mosyle señaló: “Para los profesionales de la seguridad, desarrolladores y usuarios finales por igual, esto sirve como un recordatorio contundente de que las protecciones basadas únicamente en firmas no son suficientes. El monitoreo continuo, las defensas basadas en comportamiento y la conciencia de amenazas emergentes son esenciales para adelantarse a los adversarios.”
Capacidades en expansión de los infostealers
ModStealer tiene bastantes otras capacidades además de robar extensiones. Secuestra el portapapeles sustituyendo las direcciones de billetera copiadas por las que pertenecen a los atacantes. Esto permite a los atacantes ejecutar código remoto, capturar pantallas o exfiltrar archivos.
En macOS, el malware aprovecha LaunchAgents para asegurar su persistencia. Esto mantiene el programa malicioso funcionando incluso después de reinicios del sistema, representando un riesgo a largo plazo para las máquinas infectadas.
Mosyle explicó que la construcción de ModStealer se asemeja mucho a la estructura de otras plataformas MaaS. Los afiliados obtienen acceso a kits de malware totalmente funcionales y pueden personalizar sus ataques. La firma agregó que este modelo está impulsando la expansión de los infostealers a través de diferentes sistemas operativos e industrias.
A principios de 2025, ataques mediante paquetes npm maliciosos, dependencias comprometidas y extensiones falsas revelaron cómo los adversarios ingresan en entornos que de otro modo serían confiables para los desarrolladores. ModStealer, siendo el siguiente paso en tal evolución, logra incrustarse en flujos de trabajo que parecen legítimos, lo que dificulta aún más su detección.
Relacionado:
Un cambio de errores de código a manipulación de confianza
Las brechas de seguridad históricamente han surgido en el ámbito cripto debido a vulnerabilidades en contratos inteligentes o software de billeteras. Pero ModStealer está involucrado en un cambio de paradigma. Sus atacantes ya no solo explotan errores o vulnerabilidades zero-day; están secuestrando la confianza.
Manipulan la forma en que los desarrolladores interactúan con reclutadores, asumen que las herramientas son seguras y dependen en gran medida de protecciones antivirus conocidas. Este enfoque convierte al factor humano en el eslabón más débil de la ciberseguridad.
Los expertos en seguridad aconsejan un enfoque estricto. Los usuarios deben aislar las actividades de billetera utilizando máquinas separadas o entornos virtuales. Los desarrolladores deben examinar cuidadosamente las tareas de los reclutadores e investigar fuentes y repositorios antes de ejecutar el código. También recomiendan alejarse de los sistemas antivirus basados únicamente en firmas y optar por herramientas de detección antivirus basadas en comportamiento, soluciones EDR y monitoreo en tiempo de ejecución.
Otras recomendaciones de expertos incluyen auditorías regulares de extensiones de navegador, permisos restringidos y actualizaciones de software. Argumentan que hacerlo reducirá la exposición a amenazas basadas en ModStealer.
Descargo de responsabilidad: El contenido de este artículo refleja únicamente la opinión del autor y no representa en modo alguno a la plataforma. Este artículo no se pretende servir de referencia para tomar decisiones de inversión.
También te puede gustar
El protocolo Optimism introduce OP Succinct para mejorar la capacidad de escalabilidad
Succinct Labs se ha asociado con Optimism para desarrollar OP Succinct, que permite actualizar cualquier cadena OP Stack para utilizar pruebas de conocimiento cero en solo una hora. Esto mejorará la velocidad de las transacciones y reducirá las tarifas de las soluciones de escalado Layer 2 de Ethereum. Succinct Labs ha recaudado 55 millones de dólares y afirma que su nuevo método es más rápido y barato que los rollups optimistas estándar. OP Succinct se puede integrar fácilmente en implementaciones existentes, abordando los problemas de escalabilidad y velocidad de transacción de la red principal de Ethereum. En junio de este año, OP Labs lanzó un sistema de pruebas de fallos que permite a los usuarios impugnar y revertir retiros inválidos, proporcionando un mecanismo para la red Layer 2 de Ethereum. Resumen generado por Mars AI.
Un exploit de phishing roba 3 millones de dólares en USDC de una wallet multifirma
AGAE sube un 105% tras adoptar DAT y explorar modelos RWA
La acción del precio de Pepe cae un 4,6%, el escenario alcista de Tron (TRX) se fortalece, el ejército de mineros de BlockDAG se expande a 19.8K
Vea cómo la acción del precio de Pepe (PEPE) cae, Tron (TRX) realiza un movimiento alcista en busca de una ruptura, mientras que el envío de 19,800 mineros de BlockDAG lo convierte en la mejor criptomoneda para comprar ahora. Acción de precio de Pepe cae un 4.6%, pero las expectativas siguen altas. Movimiento alcista de Tron (TRX) preparado mientras la resistencia de $0.37 se pone a prueba. 19,800 mineros ya en funcionamiento: por qué BlockDAG podría ser la moneda que lamentes haber ignorado. El ejército de mineros de BlockDAG deja atrás a Pepe y Tron.
En tendencia
MásPrecios de las criptos
Más
