Новая вредоносная программа ModStealer атакует криптовалютные кошельки в разных операционных системах

Недавно обнаруженная вредоносная программа атакует пользователей криптовалют в системах macOS, Windows и Linux, представляя серьезную угрозу для кошельков и учетных данных.

Компания Mosyle, специализирующаяся на безопасности экосистемы Apple, первой обнаружила вредоносную программу. По данным исследователей, ModStealer оставалась полностью незамеченной основными антивирусными системами в течение почти месяца после загрузки на платформу VirusTotal. Этот сервис предназначен для анализа файлов на предмет вредоносного содержимого.

Специалисты Mosyle установили, что ModStealer предназначен для извлечения конфиденциальных данных с помощью предустановленного кода, который крадет закрытые ключи, сертификаты, файлы учетных данных и расширений браузерных кошельков. Исследователи обнаружили логику атаки на различные кошельки, включая расширения для браузеров Safari и Chromium.

Эксперты по безопасности отмечают, что вредоносная программа продолжает функционировать в macOS, регистрируясь в системе как фоновый агент. По данным Mosyle, сервер управления расположен в Финляндии, однако инфраструктура, вероятно, проходит через Германию, что позволяет операторам скрыть свое происхождение.

Распространение через поддельные вакансии

Сообщается, что вредоносное программное обеспечение распространяется через поддельные объявления о вакансиях — тактику, которая становится все более популярной для атак на разработчиков в сфере Web3. После установки вредоносного пакета ModStealer внедряется в систему и работает в фоновом режиме, захватывая данные из буфера обмена, делая скриншоты и выполняя удаленные команды.

Стивен Аджайи, технический руководитель отдела аудита DApp и искусственного интеллекта в Hacken, подтвердил, что вредоносные кампании по набору персонала с использованием мошеннических «тестовых заданий» в качестве механизма доставки становятся все более распространенными. Он призвал разработчиков принимать дополнительные меры предосторожности при запросах на загрузку файлов или прохождение оценок.

«Разработчики должны проверять легитимность рекрутеров и связанных доменов», — сказал Аджайи.

Подчеркивая важность разделения конфиденциальных активов, Аджайи посоветовал командам строго разделять среды разработки и хранилища кошельков.

«Требуйте, чтобы задания предоставлялись через публичные репозитории, и открывайте любую задачу исключительно в одноразовой виртуальной машине без кошельков, SSH-ключей или менеджеров паролей», — советует эксперт.

«Четкое разделение между средой разработки «dev box» и средой кошелька «wallet box» крайне важно», — подчеркнул он.

Практические рекомендации по безопасности

Аджайи также подчеркнул важность соблюдения базовой гигиены кошелька и защиты конечных точек для защиты от таких угроз, как Modstealer.

«Используйте аппаратные кошельки и всегда подтверждайте адреса транзакций на дисплее устройства, проверяя как минимум первые и последние шесть символов перед подтверждением», — сказал он.

Аджайи посоветовал пользователям использовать отдельный, заблокированный профиль браузера или отдельное устройство исключительно для работы с кошельком, взаимодействуя только с доверенными расширениями кошелька.

Для защиты аккаунта он рекомендовал офлайн-хранение сид-фраз, многофакторную аутентификацию и, по возможности, использование паролей FIDO2.

Источник