การค้นพบมัลแวร์ ModStealer
มัลแวร์สายพันธุ์ใหม่ที่สามารถหลบเลี่ยงการตรวจสอบของโปรแกรมป้องกันไวรัสและขโมยข้อมูลจากกระเป๋าเงินคริปโตบนระบบ Windows, Linux และ macOS ถูกค้นพบเมื่อวันพฤหัสบดี โดยมีชื่อว่า ModStealer ซึ่งยังไม่ถูกตรวจพบโดยเครื่องมือป้องกันไวรัสหลัก ๆ เป็นเวลานานเกือบหนึ่งเดือนในช่วงเวลาที่มีการเปิดเผย
การกระจายผ่านโฆษณาหางานปลอม
แพ็คเกจของมันถูกส่งผ่านโฆษณาหางานปลอมที่มุ่งเป้าไปที่นักพัฒนา การเปิดเผยนี้ถูกทำโดยบริษัทความปลอดภัย Mosyle ตามรายงานเบื้องต้นจาก 9to5Mac. Decrypt ได้ติดต่อ Mosyle เพื่อเรียนรู้เพิ่มเติม
การกระจายผ่านโฆษณาหางานปลอมเป็นกลยุทธ์ที่ตั้งใจไว้ตามที่ Mosyle กล่าว เนื่องจากมันถูกออกแบบมาเพื่อเข้าถึงนักพัฒนาที่มีแนวโน้มว่าจะใช้งานหรือมีสภาพแวดล้อม Node.js ติดตั้งอยู่แล้ว
ความเสี่ยงที่เกิดจาก ModStealer
“ModStealer หลบเลี่ยงการตรวจจับโดยโซลูชันป้องกันไวรัสทั่วไปและก่อให้เกิดความเสี่ยงที่สำคัญต่อระบบนิเวศสินทรัพย์ดิจิทัลโดยรวม” Shān Zhang หัวหน้าฝ่ายความปลอดภัยข้อมูลของบริษัทความปลอดภัยบล็อกเชน Slowmist กล่าวกับ Decrypt
“แตกต่างจากมัลแวร์ขโมยทั่วไป ModStealer โดดเด่นด้วยการสนับสนุนหลายแพลตฟอร์มและการดำเนินการแบบ ‘ไม่มีการตรวจจับ’ ที่แอบแฝง”
การทำงานของมัลแวร์
เมื่อถูกดำเนินการ มัลแวร์จะสแกนหาส่วนขยายกระเป๋าเงินคริปโตที่ใช้ในเบราว์เซอร์ ข้อมูลประจำตัวของระบบ และใบรับรองดิจิทัล จากนั้น “จะส่งข้อมูลไปยังเซิร์ฟเวอร์ C2 ระยะไกล” Zhang อธิบาย
C2 หรือ “Command and Control” เซิร์ฟเวอร์ เป็นระบบศูนย์กลางที่ใช้โดยอาชญากรไซเบอร์ในการจัดการและควบคุมอุปกรณ์ที่ถูกบุกรุกในเครือข่าย ทำหน้าที่เป็นศูนย์กลางการดำเนินงานสำหรับมัลแวร์และการโจมตีทางไซเบอร์
การติดตั้งและการทำงานของ ModStealer
บนฮาร์ดแวร์ของ Apple ที่ทำงานบน macOS มัลแวร์จะตั้งค่าตัวเองผ่าน “วิธีการรักษาความคงที่” เพื่อทำงานโดยอัตโนมัติทุกครั้งที่คอมพิวเตอร์เริ่มต้น โดยปลอมตัวเป็นโปรแกรมช่วยเบื้องหลัง
การตั้งค่านี้ทำให้มันทำงานอย่างเงียบ ๆ โดยที่ผู้ใช้ไม่สังเกตเห็น สัญญาณของการติดเชื้อรวมถึงไฟล์ลับที่เรียกว่า .sysupdater.dat และการเชื่อมต่อกับเซิร์ฟเวอร์ที่น่าสงสัย
การเตือนภัยจากผู้เชี่ยวชาญ
“หากเงินของคุณอยู่ในกระเป๋าเงินซอฟต์แวร์หรือบนการแลกเปลี่ยน คุณอยู่ห่างจากการสูญเสียทุกอย่างเพียงการดำเนินการโค้ดเดียว” Charles Guillemet CTO ของ Ledger กล่าว
เมื่อถูกถามเกี่ยวกับผลกระทบที่อาจเกิดขึ้นจากมัลแวร์ใหม่ Zhang เตือนว่า ModStealer เป็น “ภัยคุกคามโดยตรงต่อผู้ใช้คริปโตและแพลตฟอร์ม”
สำหรับผู้ใช้ปลายทาง “กุญแจส่วนตัว, วลีเมล็ดพันธุ์, และกุญแจ API ของการแลกเปลี่ยนอาจถูกบุกรุก ส่งผลให้เกิดการสูญเสียสินทรัพย์โดยตรง”
Zhang กล่าวเสริมว่า สำหรับอุตสาหกรรมคริปโต “การขโมยข้อมูลกระเป๋าเงินส่วนขยายของเบราว์เซอร์ในปริมาณมากอาจกระตุ้นการโจมตีขนาดใหญ่บนบล็อกเชน ทำให้ความเชื่อมั่นลดลงและเพิ่มความเสี่ยงในห่วงโซ่อุปทาน”
