Pangunahing Tala
- Isang bagong malware na tinatawag na “ModStealer” ang tumatarget sa mga crypto wallet sa iba’t ibang operating system.
- Kumakalat ito sa pamamagitan ng pekeng recruiter ads at nananatiling hindi natutuklasan ng mga pangunahing antivirus engine.
- Kaya ng malware na ito na nakawin ang mga private key mula sa 56 na iba’t ibang browser wallet extension.
Isang bagong cross-platform malware na tinatawag na “ModStealer” ang aktibong tumatarget sa mga crypto wallet habang nananatiling hindi natutuklasan ng mga pangunahing antivirus software.
Ayon sa ulat, ang malware ay ginawa upang magnakaw ng sensitibong datos mula sa mga user ng macOS, Windows, at Linux system. Aktibo na ito ng halos isang buwan bago ito natuklasan.
Noong Setyembre 11, unang detalyadong iniulat ng 9to5Mac, isang publikasyon na nakatuon sa mga produkto ng Apple, sa isang pag-uusap kasama ang Apple device management firm na Mosyle, kumakalat ang ModStealer sa pamamagitan ng mga pekeng job recruiter ads na nakatuon sa mga developer.
Ang pamamaraang ito ay isang uri ng panlilinlang na katulad ng mga sopistikadong social engineering scam na kamakailan lamang ay nagdulot ng malalaking pagkalugi sa mga crypto user.
Higit pa sa mga crypto wallet, tinatarget din ng malware ang mga credential file, detalye ng configuration, at mga sertipiko. Gumagamit ito ng isang heavily obfuscated na JavaScript file na isinulat gamit ang NodeJS upang maiwasan ang pagkakatuklas ng mga tradisyonal na signature-based security tool.
Paano Gumagana ang ModStealer
Nag-eestablish ng persistence ang malware sa macOS sa pamamagitan ng pag-abuso sa Apple’s launchctl tool, na nagpapahintulot dito na tumakbo nang tahimik sa background bilang isang LaunchAgent. Ang mga datos ay ipinapadala sa isang remote server na matatagpuan sa Finland ngunit konektado sa infrastructure sa Germany, isang paraan na malamang ay ginagamit upang itago ang tunay na lokasyon ng operator.
Natuklasan sa pagsusuri ng Mosyle na tinatarget nito ang 56 na iba’t ibang browser wallet extension, kabilang na ang mga nasa Safari, upang kunin ang mga private key, na binibigyang-diin ang kahalagahan ng paggamit ng secure na decentralized crypto wallets.
Kaya ring kunin ng malware ang clipboard data, kumuha ng screenshot, at magpatupad ng remote code, na nagbibigay sa mga attacker ng halos ganap na kontrol sa isang infected na device.
Ang pagkakatuklas na ito ay kasunod ng iba pang mga kamakailang security breach sa crypto ecosystem. Mas maaga ngayong linggo, isang malawakang NPM supply chain attack ang nagtangkang i-kompromiso ang mga developer gamit ang mga spoofed email upang nakawin ang mga credential.
Layunin ng atakeng iyon na i-hijack ang mga transaksyon sa iba’t ibang chain, kabilang ang Ethereum ETH $4 690 24h volatility: 3.3% Market cap: $566.28 B Vol. 24h: $36.36 B at Solana SOL $240.5 24h volatility: 0.6% Market cap: $130.48 B Vol. 24h: $8.99 B, sa pamamagitan ng pagpapalit ng mga crypto address.
Gayunpaman, ito ay karamihang nakontrol, at ang mga attacker ay nakakuha lamang ng humigit-kumulang $1,000, isang maliit na halaga kumpara sa iba pang malalaking crypto heist kung saan matagumpay na nailaba at na-reinvest ng mga hacker ang milyon-milyong halaga ng nakaw na asset.
Nananiniwala ang mga researcher sa Mosyle na ang ModStealer ay tumutugma sa profile ng isang “Malware-as-a-Service” (MaaS) operation. Ang modelong ito, na lalong nagiging popular sa mga cybercriminal, ay kinabibilangan ng pagbebenta ng ready-made malware sa mga affiliate na maaaring may kaunting teknikal na kasanayan lamang.
Ipinahayag ng Mosyle na ang banta ay isang paalala na ang signature-based na proteksyon ay hindi sapat at na kinakailangan ang behaviour-based na depensa upang manatiling nangunguna sa mga bagong uri ng pag-atake.
