新たなマルウェア「ModStealer」の発見
新たに発見されたマルウェアの亜種が、Windows、Linux、macOSシステム上の暗号ウォレットからデータを盗む能力を持ち、ウイルス対策ソフトウェアの検出を回避できることが木曜日に報告されました。このマルウェアは「ModStealer」と名付けられ、発見当初は主要なウイルス対策エンジンによってほぼ1ヶ月間検出されていませんでした。
配布方法とターゲット
配布方法は、開発者をターゲットにした偽の求人広告を通じて行われていました。この情報は、セキュリティ企業Mosyleによって公開され、9to5Macの初期報告に基づいています。Decryptは、詳細を確認するためにMosyleに連絡を取りました。
Mosyleによれば、偽の求人広告を利用した配布は意図的な戦術であり、Node.js環境を既に使用しているか、インストールしている可能性のある開発者にリーチするために設計されていました。
ModStealerの機能とリスク
ブロックチェーンセキュリティ企業Slowmistの最高情報セキュリティ責任者Shān Zhangは、Decryptに対し、「ModStealerは主流のウイルス対策ソリューションを回避し、広範なデジタル資産エコシステムに重大なリスクをもたらします。」と述べました。実行されると、このマルウェアはブラウザベースの暗号ウォレット拡張機能、システム資格情報、およびデジタル証明書をスキャンします。
その後、Zhangは「データをリモートC2サーバーに外部送信します。」と説明しました。C2、または「コマンド&コントロール」サーバーは、サイバー犯罪者がネットワーク内の侵害されたデバイスを管理および制御するために使用する集中システムであり、マルウェアやサイバー攻撃の運用ハブとして機能します。
感染の兆候と持続性メソッド
macOSを実行しているAppleハードウェア上では、このマルウェアは「持続性メソッド」を通じて自らを設定し、コンピュータが起動するたびに自動的に実行されるように、バックグラウンドヘルパープログラムとして偽装します。この設定により、ユーザーが気づかないまま静かに実行され続けます。
感染の兆候には、「.sysupdater.dat」という秘密のファイルや、疑わしいサーバーへの接続が含まれます。
Zhangは、「これらの持続性メソッドは単独では一般的ですが、強力な難読化と組み合わさることで、ModStealerは署名ベースのセキュリティツールに対して耐性を持つようになります。」と述べました。
関連する警告と影響
ModStealerの発見は、LedgerのCTOCharles Guillemetからの関連する警告の直後に行われました。彼は火曜日に、攻撃者がNPM開発者アカウントを侵害し、取引中に暗号ウォレットアドレスを静かに置き換える悪意のあるコードを広めようとしたことを明らかにしました。
これにより、複数のブロックチェーンで資金が危険にさらされる可能性があります。攻撃は早期に検出され失敗しましたが、Guillemetは後に、侵害されたパッケージがEthereum、Solana、その他のチェーンにフックされていたことを指摘しました。
「もしあなたの資金がソフトウェアウォレットや取引所にあるなら、あなたはすべてを失う一回のコード実行の距離にいます。」とGuillemetは初期の警告から数時間後にツイートしました。
新しいマルウェアの影響について尋ねられたZhangは、ModStealerが「暗号ユーザーとプラットフォームに直接的な脅威をもたらす」と警告しました。エンドユーザーにとっては、「プライベートキー、シードフレーズ、および取引所APIキーが侵害され、直接的な資産損失を引き起こす可能性があります。」とZhangは述べ、暗号業界にとっては「ブラウザ拡張ウォレットデータの大規模な盗難が、大規模なオンチェーンの悪用を引き起こし、信頼を損ない、サプライチェーンリスクを増幅させる可能性があります。」と付け加えました。
