Phát hiện phần mềm độc hại ModStealer
Một loại phần mềm độc hại mới có khả năng vượt qua các kiểm tra antivirus và đánh cắp dữ liệu từ các ví tiền điện tử trên hệ thống Windows, Linux và macOS đã được phát hiện vào thứ Năm. Được gọi là ModStealer, phần mềm này đã không bị phát hiện bởi các công cụ antivirus lớn trong gần một tháng tại thời điểm công bố.
Phương thức phân phối
Gói phần mềm được phân phối thông qua các quảng cáo tuyển dụng giả mạo nhắm vào các nhà phát triển. Thông tin này được công bố bởi công ty bảo mật Mosyle, theo một báo cáo ban đầu từ 9to5Mac. Decrypt đã liên hệ với Mosyle để tìm hiểu thêm.
Việc phân phối thông qua các quảng cáo tuyển dụng giả mạo là một chiến thuật có chủ đích, theo Mosyle, nhằm tiếp cận các nhà phát triển có khả năng đã sử dụng hoặc đã cài đặt môi trường Node.js.
Đặc điểm của ModStealer
ModStealer “tránh được sự phát hiện của các giải pháp antivirus chính thống và gây ra rủi ro đáng kể cho hệ sinh thái tài sản kỹ thuật số rộng lớn hơn,” Shān Zhang, giám đốc an ninh thông tin tại công ty bảo mật blockchain Slowmist, cho biết với Decrypt.
“Khác với các phần mềm đánh cắp truyền thống, ModStealer nổi bật với hỗ trợ đa nền tảng và chuỗi thực thi ‘không phát hiện’ bí mật.” Khi được thực thi, phần mềm độc hại này quét các tiện ích mở rộng ví tiền điện tử trên trình duyệt, thông tin xác thực hệ thống và chứng chỉ số. Sau đó, nó “xuất dữ liệu đến các máy chủ C2 từ xa,” Zhang giải thích.
Chiến lược duy trì và dấu hiệu nhiễm bệnh
Một máy chủ C2, hay “Command and Control“, là một hệ thống tập trung được sử dụng bởi tội phạm mạng để quản lý và kiểm soát các thiết bị bị xâm phạm trong một mạng lưới, hoạt động như trung tâm điều hành cho phần mềm độc hại và các cuộc tấn công mạng.
Trên phần cứng Apple chạy macOS, phần mềm độc hại tự thiết lập thông qua một “phương pháp duy trì” để tự động chạy mỗi khi máy tính khởi động, ngụy trang thành một chương trình trợ giúp nền. Cài đặt này giữ cho nó hoạt động một cách âm thầm mà người dùng không nhận ra.
Dấu hiệu nhiễm bệnh bao gồm một tệp bí mật có tên “sysupdater.dat” và các kết nối đến một máy chủ đáng ngờ, theo thông báo.
“Mặc dù phổ biến khi tách biệt, nhưng những phương pháp duy trì này kết hợp với việc làm mờ mạnh mẽ khiến ModStealer trở nên bền bỉ trước các công cụ bảo mật dựa trên chữ ký,” Zhang nói.
Cảnh báo từ ngành công nghiệp
Việc phát hiện ModStealer diễn ra ngay sau một cảnh báo liên quan từ CTO của Ledger, Charles Guillemet, người đã công bố vào thứ Ba rằng các kẻ tấn công đã xâm phạm một tài khoản nhà phát triển NPM và cố gắng phát tán mã độc có thể thay thế âm thầm địa chỉ ví tiền điện tử trong các giao dịch, đặt quỹ vào rủi ro trên nhiều blockchain.
Mặc dù cuộc tấn công đã được phát hiện sớm và thất bại, Guillemet sau đó lưu ý rằng các gói bị xâm phạm đã được kết nối với Ethereum, Solana và các chuỗi khác.
“Nếu quỹ của bạn nằm trong một ví phần mềm hoặc trên một sàn giao dịch, bạn chỉ cách một lần thực thi mã để mất tất cả,” Guillemet đã tweet vài giờ sau cảnh báo ban đầu của mình.
Tác động của ModStealer
Khi được hỏi về tác động có thể của phần mềm độc hại mới, Zhang cảnh báo rằng ModStealer gây ra một “mối đe dọa trực tiếp đối với người dùng và các nền tảng tiền điện tử.” Đối với người dùng cuối, “khóa riêng, cụm từ hạt giống và khóa API sàn giao dịch có thể bị xâm phạm, dẫn đến mất mát tài sản trực tiếp,” Zhang nói, đồng thời cho biết rằng đối với ngành công nghiệp tiền điện tử, “việc đánh cắp hàng loạt dữ liệu ví tiện ích mở rộng trên trình duyệt có thể kích hoạt các cuộc khai thác quy mô lớn trên chuỗi, làm suy giảm niềm tin và khuếch đại rủi ro chuỗi cung ứng.”
