Catatan Utama
- Malware baru bernama “ModStealer” menargetkan dompet crypto di berbagai sistem operasi.
- Malware ini menyebar melalui iklan perekrut palsu dan tetap tidak terdeteksi oleh mesin antivirus utama.
- Malware ini dapat mencuri private key dari 56 ekstensi dompet browser yang berbeda.
Malware lintas platform baru bernama “ModStealer” secara aktif menargetkan dompet crypto sambil tetap tidak terdeteksi oleh perangkat lunak antivirus utama.
Malware ini dilaporkan dibuat untuk mencuri data sensitif dari pengguna di sistem macOS, Windows, dan Linux. Malware ini telah aktif selama hampir satu bulan sebelum ditemukan.
Pada 11 September, pertama kali dirinci oleh 9to5Mac, sebuah publikasi yang berfokus pada produk Apple, dalam percakapan dengan perusahaan manajemen perangkat Apple Mosyle, ModStealer menyebar melalui iklan perekrut kerja palsu yang ditujukan kepada para pengembang.
Metode ini merupakan bentuk penipuan yang mirip dengan skema rekayasa sosial canggih yang baru-baru ini menyebabkan kerugian besar bagi pengguna crypto.
Selain dompet crypto, malware ini juga menargetkan file kredensial, detail konfigurasi, dan sertifikat. Malware ini menggunakan file JavaScript yang sangat disamarkan dan ditulis dengan NodeJS untuk menghindari deteksi oleh alat keamanan berbasis signature tradisional.
Cara Kerja ModStealer
Malware ini membangun persistensi di macOS dengan menyalahgunakan alat launchctl milik Apple, memungkinkannya berjalan diam-diam di latar belakang sebagai LaunchAgent. Data kemudian dikirim ke server jarak jauh yang berlokasi di Finlandia namun terhubung dengan infrastruktur di Jerman, sebuah metode yang kemungkinan digunakan untuk menyembunyikan lokasi operator sebenarnya.
Analisis Mosyle menemukan bahwa malware ini secara eksplisit menargetkan 56 ekstensi dompet browser yang berbeda, termasuk yang ada di Safari, untuk mengekstrak private key, menyoroti pentingnya menggunakan dompet crypto terdesentralisasi yang aman.
Malware ini juga dapat menangkap data clipboard, mengambil screenshot, dan mengeksekusi kode jarak jauh, memberikan penyerang kendali hampir penuh atas perangkat yang terinfeksi.
Penemuan ini mengikuti pelanggaran keamanan lain yang baru-baru ini terjadi di ekosistem crypto. Awal minggu ini, serangan rantai pasokan NPM yang meluas mencoba mengkompromikan pengembang dengan menggunakan email palsu untuk mencuri kredensial.
Serangan tersebut bertujuan untuk membajak transaksi di berbagai chain, termasuk Ethereum ETH $4 690 volatilitas 24 jam: 3.3% Market cap: $566.28 B Vol. 24h: $36.36 B dan Solana SOL $240.5 volatilitas 24 jam: 0.6% Market cap: $130.48 B Vol. 24h: $8.99 B, dengan menukar alamat crypto.
Namun, serangan tersebut sebagian besar berhasil dikendalikan, dengan penyerang hanya berhasil mencuri sekitar $1.000, jumlah yang kecil dibandingkan dengan perampokan crypto besar lainnya di mana peretas berhasil mencuci dan menginvestasikan kembali jutaan aset curian.
Peneliti di Mosyle percaya bahwa ModStealer sesuai dengan profil operasi “Malware-as-a-Service” (MaaS). Model ini, yang semakin populer di kalangan penjahat dunia maya, melibatkan penjualan malware siap pakai kepada afiliasi yang mungkin memiliki keterampilan teknis minimal.
Mosyle menyatakan bahwa ancaman ini menjadi pengingat bahwa perlindungan berbasis signature saja tidak cukup dan pertahanan berbasis perilaku diperlukan untuk tetap selangkah lebih maju dari vektor serangan baru.
