Os pesquisadores descobrem malware indetectável que drenando carteiras de navegador de criptografia

Uma nova linhagem de malware que pode passar por verificações de antivírus e roubar dados de carteiras criptográficas nos sistemas Windows, Linux e MacOS foi descoberta na quinta -feira.

Apelidado de Modstealer, permaneceu sem ser detectado pelos principais motores antivírus por quase um mês no momento da divulgação, com o pacote sendo entregue por meio de anúncios de recrutador de emprego falsos direcionados aos desenvolvedores.

A divulgação foi feita pela empresa de segurança Mosyle, de acordo com um inicial relatório de 9to5mac. Descriptografar entrou em contato com Mosyle para aprender mais.

A distribuição por meio de anúncios de recrutador de empregos falsos era uma tática intencional, de acordo com Mosyle, porque foi projetado para alcançar desenvolvedores que provavelmente já estavam usando ou tinham ambientes de node.js instalados.

Modstealer “Evita a detecção pelas soluções antivírus convencionais e apresenta riscos significativos para o ecossistema de ativos digitais mais amplo”, disse Shān Zhang, diretor de segurança da informação da empresa de segurança de blockchain Slowmist, disse Descriptografar. “Ao contrário dos ladrões tradicionais, a ModStealer se destaca por seu suporte multi-plataforma e cadeia de execução furtiva de ‘detecção zero'”.

Depois de executado, os escaneios de malware para extensões de carteira de criptografia baseadas no navegador, credenciais do sistema e certificados digitais.

Em seguida, “exfiltra os dados para servidores C2 remotos”, explicou Zhang. Um servidor C2, ou “Command and Control”, é um sistema centralizado usado pelos cibercriminosos para gerenciar e controlar dispositivos comprometidos em uma rede, atuando como o hub operacional para malware e ataques cibernéticos.

No hardware da Apple executando o MacOS, o malware se prepara através de um “método de persistência” para ser executado automaticamente toda vez que o computador começa disfarçando -se como um programa auxiliar de fundo.

A configuração o mantém funcionando em silêncio sem que o usuário perceba. Os sinais de infecção incluem um arquivo secreto chamado “.sysupdater.dat” e conexões com um servidor suspeito, de acordo com a divulgação.

“Embora comum em isolamento, esses métodos de persistência combinados com forte ofuscação tornam o ModStealer resiliente contra ferramentas de segurança baseadas em assinatura”, disse Zhang.

A descoberta do Modstealer vem logo após um aviso relacionado do Ledger CTO Charles Guillemet, que divulgado Terça -feira que os atacantes haviam comprometido uma conta de desenvolvedor de NPM e tentou espalhar código malicioso que pudesse substituir silenciosamente os endereços da carteira de criptografia durante as transações, colocando fundos em risco em várias blockchains.

Embora o ataque tenha sido detectado mais cedo e falhasse, Guillemet observou mais tarde que os pacotes comprometidos foram fisgados a Ethereum, Solana e outras cadeias.

“Se seus fundos ficarem em uma carteira de software ou em uma troca, você é uma execução de código de perder tudo”. Guillemet twittou horas após seu aviso inicial.

Questionado sobre o possível impacto do novo malware, Zhang alertou que Modstealer representa uma “ameaça direta aos usuários e plataformas de criptografia”.

Para os usuários finais, “chaves privadas, frases de sementes e teclas de API de troca podem ser comprometidas, resultando em perda direta de ativos”, disse Zhang, acrescentando que, para a indústria de criptografia, “roubo em massa de dados da carteira de extensão de navegador pode desencadear explorações de escala em larga escala, explorar os riscos da cadeia de confiança e ampliar a cadeia de suprimentos”.