Penemuan Malware ModStealer
Sebuah strain malware baru yang dapat lolos dari pemeriksaan antivirus dan mencuri data dari dompet crypto di sistem Windows, Linux, dan macOS ditemukan pada hari Kamis. Malware ini, yang disebut ModStealer, tetap tidak terdeteksi oleh mesin antivirus utama selama hampir sebulan pada saat pengungkapan. Paket malware ini disampaikan melalui iklan perekrutan pekerjaan palsu yang menargetkan pengembang. Pengungkapan ini dilakukan oleh perusahaan keamanan Mosyle, berdasarkan laporan awal dari 9to5Mac. Decrypt telah menghubungi Mosyle untuk mempelajari lebih lanjut.
Taktik Penyebaran Malware
Menyebarkan malware melalui iklan perekrutan pekerjaan palsu adalah taktik yang disengaja, menurut Mosyle, karena dirancang untuk menjangkau pengembang yang kemungkinan sudah menggunakan atau memiliki lingkungan Node.js yang terpasang. ModStealer “menghindari deteksi oleh solusi antivirus mainstream dan menimbulkan risiko signifikan bagi ekosistem aset digital yang lebih luas,” kata Shān Zhang, kepala petugas keamanan informasi di perusahaan keamanan blockchain Slowmist, kepada Decrypt. “Berbeda dengan pencuri tradisional, ModStealer menonjol karena dukungan multi-platform dan rantai eksekusi ‘nol deteksi’ yang tersembunyi.”
Fungsi dan Metode Kerja ModStealer
Setelah dieksekusi, malware ini memindai ekstensi dompet crypto berbasis browser, kredensial sistem, dan sertifikat digital. Kemudian, ia “mengekstrak data ke server C2 jarak jauh,” jelas Zhang. C2, atau server “Command and Control“, adalah sistem terpusat yang digunakan oleh penjahat siber untuk mengelola dan mengontrol perangkat yang terkompromi dalam jaringan, bertindak sebagai pusat operasional untuk malware dan serangan siber.
Di perangkat keras Apple yang menjalankan macOS, malware ini mengatur dirinya sendiri melalui “metode ketahanan” untuk berjalan secara otomatis setiap kali komputer dinyalakan, dengan menyamar sebagai program pembantu latar belakang. Pengaturan ini membuatnya tetap berjalan dengan tenang tanpa disadari pengguna. Tanda-tanda infeksi termasuk file rahasia bernama .sysupdater.dat dan koneksi ke server yang mencurigakan, menurut pengungkapan tersebut. “Meskipun umum dalam isolasi, metode ketahanan ini yang dipadukan dengan pengaburan yang kuat membuat ModStealer tahan terhadap alat keamanan berbasis tanda tangan,” kata Zhang.
Peringatan dari Industri Crypto
Penemuan ModStealer datang setelah peringatan terkait dari CTO Ledger, Charles Guillemet, yang mengungkapkan pada hari Selasa bahwa penyerang telah mengkompromikan akun pengembang NPM dan mencoba menyebarkan kode berbahaya yang dapat secara diam-diam mengganti alamat dompet crypto selama transaksi, menempatkan dana dalam risiko di berbagai blockchain. Meskipun serangan tersebut terdeteksi lebih awal dan gagal, Guillemet kemudian mencatat bahwa paket yang terkompromi telah terhubung ke Ethereum, Solana, dan rantai lainnya. “Jika dana Anda berada di dompet perangkat lunak atau di bursa, Anda hanya satu eksekusi kode dari kehilangan segalanya,” cuit Guillemet beberapa jam setelah peringatan awalnya.
Dampak Potensial dari ModStealer
Ketika ditanya tentang kemungkinan dampak malware baru ini, Zhang memperingatkan bahwa ModStealer menimbulkan “ancaman langsung bagi pengguna dan platform crypto.” Bagi pengguna akhir, “kunci pribadi, frasa benih, dan kunci API bursa mungkin terkompromi, yang mengakibatkan kehilangan aset secara langsung,” kata Zhang, menambahkan bahwa bagi industri crypto, “pencurian massal data dompet ekstensi browser dapat memicu eksploitasi besar-besaran di on-chain, mengikis kepercayaan dan memperbesar risiko rantai pasokan.”
