ModStealer: Isang Bagong Uri ng Malware
Isang bagong uri ng malware ang natuklasan na kayang makalusot sa mga antivirus check at magnakaw ng impormasyon mula sa mga crypto wallets sa Windows, Linux, at macOS systems. Tinawag itong ModStealer at nanatili itong hindi natutukoy ng mga pangunahing antivirus engines sa loob ng halos isang buwan mula nang ito ay unang lumabas.
Pamamahagi ng Malware
Ang malware na ito ay naipadala sa pamamagitan ng mga pekeng anunsyo mula sa mga job recruiter na nakatuon sa mga developer. Ang pagdedeklara tungkol dito ay ginawa ng security firm na Mosyle, ayon sa paunang ulat mula sa 9to5Mac. Nakipag-ugnayan ang Decrypt sa Mosyle upang makakuha ng karagdagang impormasyon.
Ayon sa Mosyle, ang pamamahagi ng malware sa pamamagitan ng mga pekeng anunsyo ay isang sinadyang taktika upang maabot ang mga developer na malamang na gumagamit o may naka-install na Node.js environments.
Mga Panganib ng ModStealer
“Ang ModStealer ay umiiwas sa pagtukoy ng mga pangunahing solusyon sa antivirus at nagdadala ng makabuluhang panganib sa mas malawak na ecosystem ng digital asset,” sabi ni Shān Zhang, chief information security officer ng blockchain security firm na Slowmist, sa Decrypt.
“Hindi tulad ng mga tradisyonal na stealer, ang ModStealer ay namumukod-tangi dahil sa suporta nito sa maraming platform at tahimik na ‘zero-detection’ execution chain.”
Kapag na-execute, ang malware ay nag-scan para sa mga browser-based crypto wallet extensions, system credentials, at digital certificates. Pagkatapos, ito ay “exfiltrates” ang data sa mga remote C2 servers, ipinaliwanag ni Zhang.
Command and Control Servers
Ang C2, o “Command and Control” server, ay isang sentralisadong sistema na ginagamit ng mga cybercriminal upang pamahalaan at kontrolin ang mga compromised na device sa isang network, na nagsisilbing operational hub para sa malware at cyberattacks.
Persistence Method sa macOS
Sa mga Apple hardware na tumatakbo sa macOS, ang malware ay nag-set up sa sarili nito sa pamamagitan ng isang “persistence method” upang awtomatikong tumakbo sa tuwing nagsisimula ang computer, sa pamamagitan ng pagdadala ng sarili bilang isang background helper program. Ang setup na ito ay nagpapanatili sa malware na tumatakbo nang tahimik nang hindi napapansin ng gumagamit.
Ang mga palatandaan ng impeksyon ay kinabibilangan ng isang lihim na file na tinatawag na .sysupdater.dat at mga koneksyon sa isang kahina-hinalang server, ayon sa pagdedeklara.
Mga Panganib sa Crypto Users
“Bagaman karaniwan sa hiwalay, ang mga persistence methods na ito na pinagsama sa malakas na obfuscation ay ginagawang matibay ang ModStealer laban sa signature-based security tools,” sabi ni Zhang.
Ang pagtuklas ng ModStealer ay naganap kasunod ng isang kaugnay na babala mula sa Ledger CTO na si Charles Guillemet, na nagdeklara noong Martes na ang mga attacker ay nakompromiso ang isang NPM developer account at sinubukang ipakalat ang nakakapinsalang code na maaaring tahimik na palitan ang mga crypto wallet address sa panahon ng mga transaksyon, na naglalagay ng mga pondo sa panganib sa iba’t ibang blockchain.
Bagaman ang atake ay natukoy nang maaga at nabigo, binanggit ni Guillemet na ang mga nakompromisong package ay na-hook sa Ethereum, Solana, at iba pang mga chain.
“Kung ang iyong mga pondo ay nasa isang software wallet o sa isang exchange, ikaw ay isang code execution lamang ang layo mula sa pagkawala ng lahat,” tweet ni Guillemet ilang oras pagkatapos ng kanyang paunang babala.
Nang tanungin tungkol sa posibleng epekto ng bagong malware, nagbabala si Zhang na ang ModStealer ay nagdadala ng “direktang banta” sa mga crypto user at platform.
Para sa mga end-user, “ang mga private keys, seed phrases, at exchange API keys ay maaaring makompromiso, na nagreresulta sa direktang pagkawala ng asset,” sabi ni Zhang, idinadagdag na para sa industriya ng crypto, “ang malawakang pagnanakaw ng data ng browser extension wallet ay maaaring mag-trigger ng malakihang on-chain exploits, na nagpapahina ng tiwala at nagpapalakas ng mga panganib sa supply chain.”
