Hindi matukoy na crypto-stealing ModStealer malware, tinatarget ang mga wallet sa Mac at Windows. Paano tina-target ng ModStealer ang mga crypto user?

Natukoy ng mga cybersecurity researcher ang isang bagong infostealer malware na idinisenyo upang i-target ang cryptocurrency wallets at kunin ang mga private key at iba pang sensitibong impormasyon sa Windows, Linux, at macOS, habang nananatiling hindi natutuklasan ng mga pangunahing antivirus engine.

Ang malware na kilala bilang ModStealer ay natukoy ng Mosyle, isang security platform na nagdadalubhasa sa Apple device management, matapos nitong makaiwas sa pagtuklas ng mga pangunahing antivirus engine sa loob ng ilang linggo.

“Ang malware ay nanatiling hindi natutuklasan ng lahat ng pangunahing antivirus engine mula nang unang lumitaw ito sa VirusTotal halos isang buwan na ang nakalipas,” ayon sa ulat ng Mosyle na ibinahagi sa 9to5Mac.

Bagaman kadalasang nakatuon ang Mosyle sa mga banta sa seguridad ng Mac, nagbabala ito na ang ModStealer ay idinisenyo upang makapasok din sa mga sistemang pinapatakbo ng Windows at Linux. 

May mga palatandaan din na ito ay maaaring inaalok bilang isang Malware-as-a-Service, na nagpapahintulot sa mga cybercriminal na may kaunting teknikal na kaalaman na i-deploy ito sa maraming platform gamit ang handa nang malisyosong code.

Ang Malware-as-a-Service ay isang underground na business model kung saan ang mga malisyosong developer ay nagbebenta o nagpapaupa ng malware kits sa mga affiliate kapalit ng komisyon o subscription fee.

Paano tina-target ng ModStealer ang mga crypto user?

Nalaman sa pagsusuri ng Mosyle na ang ModStealer ay ipinapamahagi gamit ang mga malisyosong job recruiter ads na pangunahing tumatarget sa mga developer. 

Ang nagpapahirap sa pagtuklas ng malware ay ang katotohanang ito ay isinulat gamit ang “isang labis na obfuscated na JavaScript file” sa loob ng Node.js environment.

Dahil ang Node.js environments ay malawakang ginagamit ng mga developer at madalas na binibigyan ng mataas na pahintulot sa panahon ng software testing at deployment, nagiging kaakit-akit itong entry point para sa mga umaatake.

Mas malamang din na ang mga developer ay humahawak ng sensitibong credentials, access keys, at crypto wallets bilang bahagi ng kanilang workflow, kaya sila ay nagiging high-value targets.

Bilang isang infostealer, kapag naihatid na ang ModStealer sa sistema ng biktima, ang pangunahing layunin nito ay data exfiltration. Natuklasan na ang malware ay preloaded ng malisyosong code na nagpapahintulot dito na i-target ang hindi bababa sa “56 na iba’t ibang browser wallet extensions, kabilang ang Safari,” upang nakawin ang mga crypto private key, ayon sa ulat.

Kabilang sa iba pang kakayahan, maaaring kunin ng ModStealer ang data mula sa clipboards, kunan ng larawan ang screen ng biktima, at malayuang magpatupad ng malisyosong code sa target na sistema, na ayon sa babala ng Mosyle ay maaaring magbigay sa masasamang aktor ng “halos ganap na kontrol sa mga infected na device.”

“Ang nagpapakabahala sa diskubreng ito ay ang lihim na operasyon ng ModStealer. Ang hindi natutuklasang malware ay malaking problema para sa signature-based detection dahil maaari itong manatiling hindi napapansin nang hindi na-flag,” dagdag pa nito.

Sa macOS, maaaring i-embed ng ModStealer ang sarili nito gamit ang launchctl tool ng system, na isang built-in utility na ginagamit upang pamahalaan ang mga background process, na nagpapahintulot sa malware na magkunwaring lehitimong serbisyo at awtomatikong tumakbo tuwing magbubukas ang device.

Nadiskubre rin ng Mosyle na ang data na nakuha mula sa mga sistema ng biktima ay ipinapasa sa isang remote server na nakabase sa Finland, na konektado sa infrastructure sa Germany, marahil upang itago ang tunay na lokasyon ng mga operator.

Hinimok ng security firm ang mga developer na huwag umasa lamang sa signature-based protections.

“[..] Hindi sapat ang signature-based protections lamang. Mahalaga ang tuloy-tuloy na monitoring, behavior-based defenses, at kamalayan sa mga bagong banta upang manatiling nangunguna laban sa mga kalaban.”

Mga bagong banta na tumatarget sa Mac at Windows crypto users

Habang patuloy na tumataas ang crypto adoption sa buong mundo, lalong nakatuon ang mga threat actor sa pagbuo ng masalimuot na attack vectors upang maagaw ang mga digital asset. Malayo pa ang ModStealer sa nag-iisang banta na gumagawa ng balita.

Noong mas maaga ngayong buwan, nagbabala ang mga researcher mula sa ReversingLabs tungkol sa isang open-source malware na naka-embed sa loob ng Ethereum smart contracts na maaaring mag-deploy ng malisyosong payloads na tumatarget sa mga crypto user.