Поділитися цією статтею
Цей невидимий «ModStealer» цілиться у ваші криптогаманці на базі браузера
Код містить попередньо завантажені інструкції для цілеспрямованого впливу на 56 розширень браузерних гаманців і розроблений для вилучення приватних ключів, облікових даних та сертифікатів.
Що варто знати:
- Нова шкідлива програма під назвою ModStealer уникає виявлення провідними антивірусними системами та націлена на дані крипто-гаманець.
- ModStealer використовує зашифровані скрипти NodeJS для обходу оборонних механізмів на основі підписів і поширюється через шкідливі оголошення рекрутерів.
- Шкідливе ПЗ впливає на Windows, Linux та macOS, підтримуючи ексфільтрацію даних, перехоплення буфера обміну та віддалене виконання коду.
Новий різновид шкідливого програмного забезпечення, спеціально створений для викрадення даних криптогаманців, проходить повз усі основні антивірусні системи, за даними компанії Mosyle, що спеціалізується на безпеці пристроїв Apple.
Під назвою ModStealer, цей інфощилер працює вже майже місяць без виявлення антивірусними сканерами. Дослідники Mosyle повідомляють, що шкідливе ПЗ поширюється через зловмисні рекрутингові оголошення, спрямовані на розробників, і використовує сильно зашкоджений скрипт NodeJS для обходу захисту на основі підписів.
Це означає, що код шкідливого програмного забезпечення був зашифрований та ускладнений за допомогою прийомів, які роблять його нечитаємим для антивірусних засобів, що базуються на сигнатурах. Оскільки ці засоби захисту покладаються на виявлення впізнаваних «шаблонів» коду, обфускація приховує їх, дозволяючи скрипту виконуватися без виявлення.
На практиці це дозволяє зловмисникам впроваджувати шкідливі інструкції в систему, оминаючи традиційні сканування безпеки, які зазвичай виявляють прості, незмінені коди.
На відміну від більшості шкідливих програм, орієнтованих на Mac, ModStealer є кросплатформеним і також атакує середовища Windows та Linux. Його основною метою є ексфільтрація даних, а код, як передбачається, містить заздалегідь завантажені інструкції для націлювання на 56 розширень браузерних гаманців, розроблених для вилучення приватних ключів, облікових даних і сертифікатів.
Шкідливе ПЗ також підтримує викрадення даних із буфера обміну, захоплення екрана та віддалене виконання коду, надаючи зловмисникам можливість майже повністю контролювати уражені пристрої. На macOS стійкість досягається за допомогою інструменту запуску Apple, шляхом вбудовування себе як LaunchAgent.
Mosyle заявляє, що цей збірка відповідає профілю «Malware-as-a-Service», де розробники продають готові інструменти афіліатам з обмеженими технічними знаннями. Ця модель сприяла зростанню кількості інфостілерів цього року, при цьому Jamf повідомляє про 28% зростання лише у 2025 році.
Відкриття відбувається на тлі нещодавніх атак, спрямованих на npm, де шкідливі пакети, такі як colortoolsv2 та mimelib2, використовували смарт-контракти Ethereum для приховування другого етапу шкідливого програмного забезпечення. В обох випадках зловмисники застосовували обфускацію та довірену інфраструктуру розробників для обходу виявлення.
ModStealer розширює цей патерн за межі репозиторіїв пакетів, демонструючи, як кіберзлочинці посилюють свої методи по всіх екосистемах, щоб скомпрометувати середовища розробників і безпосередньо атакувати криптогаманці.
More For You
Графік ціни біткоїна формує потенційне нижче максимуму, тоді як ефір перебуває в багатомісячному діапазоні, навіть на тлі зростання ф’ючерсів індексів S&P 500 та Nasdaq 100.
What to know:
- Ціна біткойна за два тижні впала на 7% і може підтвердити ще одне нижче максимальне значення в медвежій структурі, яка триває з жовтня
- Ether впав ще більше, втративши понад 10% за той самий період.
- Токени, пов’язані з ШІ, долають слабкість ринку: індекс CoinDesk Computing Select додав 1,9%, лідерами стали RENDER...
