Nowo odkryty szczep złośliwego oprogramowania o nazwie ModStealer może ominąć oprogramowanie antywirusowe i kradzież dane z portfeli kryptowalut w systemach operacyjnych systemu Windows, Linux i MacOS. Złośliwe oprogramowanie zostało ujawnione w czwartek i początkowo zgłoszone przez 9to5macw oparciu o informacje z firmy ochroniarskiej Mosyle.
Modstealer Cryptowaluty złośliwe oprogramowanie obsługiwane niewykryte przez prawie jeden miesiąc
Modstealer działał przez prawie miesiąc przed wykryciem, pozostając w tym okresie ukrytym przed wybitnymi silnikami antywirusowymi. Złośliwe oprogramowanie rozprzestrzeniają się w reklamach zwodniczych rekruterów o pracy, specjalnie ukierunkowanych na programistów oprogramowania. Mosyle wskazał, że ta metoda dystrybucji zapewnia, że złośliwe oprogramowanie dociera do osób, które mogą mieć zainstalowane środowiska node.js, co czyni je głównymi celami ataków związanych z kryptowalutą.
Obsługa wieloplatformowa umożliwia szerokie celowanie
Shān Zhang, dyrektor ds. Bezpieczeństwa informacji w firmie Blockchain Security Slowmist, stwierdził, że Modstealer „unika wykrywania przez główne rozwiązania antywirusowe i stanowi znaczące ryzyko dla szerszego ekosystemu aktywów cyfrowych”. Zhang zauważył, że „W przeciwieństwie do tradycyjnych kradzieży, Modstealer wyróżnia się wsparciem wieloplatformowym i ukradkowym łańcuchem wykonawczym„ zerowym ”, umożliwiając jednocześnie ataki w wielu systemach operacyjnych.
Kompleksowe skanowanie systemu celuje w aktywa kryptowalutowe
Po wykonaniu Modstealer inicjuje dokładne skanowanie zainfekowanych systemów, wyszukiwanie rozszerzeń portfela kryptowalut opartych na przeglądarce, poświadczeń systemowych i certyfikatów cyfrowych. W systemach macOS złośliwe oprogramowanie wykorzystuje mechanizm trwałości poprzez udrękowanie jako program pomocniczy. Trwałość ta zapewnia automatyczne wykonywanie po uruchomieniu systemu, utrzymując ciągłą pracę bez interwencji użytkownika lub świadomości.
Jak wykryć potencjalne infekcje Modstealer
Użytkownicy mogą zidentyfikować możliwe infekcje ModStealera, sprawdzając te wskaźniki:
- Ukryty plik o nazwie „.sysupdater.dat” w systemie,
- Wychodzące połączenia sieciowe z podejrzanymi lub nieznanymi serwerami,
- Nieoczekiwane procesy tła działające przy uruchomieniu,
- Niezwykłe zachowanie przedłużenia portfela kryptowaluty,
- Nieautoryzowane próby dostępu do certyfikatów cyfrowych.
Zhang wyjaśnił, że „choć powszechne w izolacji, te metody trwałości w połączeniu z silnym zaciemnieniem sprawiają, że Modstealer odporny na narzędzia bezpieczeństwa oparte na podpisach”.
Bezpośrednie zagrożenie dla użytkowników i platform kryptowalut
Zhang podkreślił potencjalny wpływ Modstealera na poszczególnych użytkowników i szerszy ekosystem kryptowaluty. W przypadku poszczególnych użytkowników „prywatne klucze, frazy nasion i klawisze API wymiany mogą być narażone na szwank, co powoduje bezpośrednią utratę aktywów”. W branży kryptowalut Zhang ostrzegł, że „masowa kradzież danych portfela rozszerzenia przeglądarki może wywołać na dużą skalę exploits, erodując zaufanie i wzmacniając ryzyko łańcucha dostaw”.
Jak chronić portfele kryptowalut przed Modstealer
Użytkownicy kryptowaluty mogą wdrożyć te środki ochronne:
- Używaj portfeli sprzętowych zamiast rozszerzeń przeglądarki dla znaczących zasobów,
- Włącz uwierzytelnianie wieloskładnikowe na wszystkich kontach kryptowalutowych,
- Regularnie aktualizuj oprogramowanie antywirusowe i włącz skanowanie w czasie rzeczywistym,
- Unikaj klikania podejrzanych reklam rekrutacji pracy,
- Monitoruj procesy uruchamiania systemu dla nieautoryzowanych aplikacji,
- Zapasowe frazy nasion offline w bezpiecznych lokalizacjach fizycznych,
- Używaj osobnych urządzeń do transakcji kryptowalutowych, jeśli to możliwe.
