Wichtige Hinweise
- Eine neue Malware namens „ModStealer“ zielt auf Krypto-Wallets über mehrere Betriebssysteme hinweg ab.
- Sie verbreitet sich über gefälschte Anzeigen von Personalvermittlern und bleibt von den wichtigsten Antivirenprogrammen unentdeckt.
- Die Malware kann private Schlüssel aus 56 verschiedenen Browser-Wallet-Erweiterungen stehlen.
Eine neue plattformübergreifende Malware namens „ModStealer“ nimmt aktiv Krypto-Wallets ins Visier und bleibt dabei von den wichtigsten Antivirensoftware unentdeckt.
Berichten zufolge wurde die Malware entwickelt, um sensible Daten von Nutzern auf macOS-, Windows- und Linux-Systemen zu stehlen. Sie war fast einen Monat lang aktiv, bevor sie entdeckt wurde.
Am 11. September wurde erstmals von 9to5Mac, einer auf Apple-Produkte spezialisierten Publikation, in einem Gespräch mit dem Apple-Gerätemanagement-Unternehmen Mosyle berichtet, dass sich ModStealer über gefälschte Jobanzeigen für Entwickler verbreitet.
Diese Methode ist eine Form der Täuschung, die ausgeklügelten Social-Engineering-Betrügereien ähnelt, die in letzter Zeit zu massiven Verlusten bei Krypto-Nutzern geführt haben.
Über Krypto-Wallets hinaus zielt die Malware auch auf Anmeldedateien, Konfigurationsdetails und Zertifikate ab. Sie verwendet eine stark verschleierte JavaScript-Datei, die mit NodeJS geschrieben wurde, um der Erkennung durch herkömmliche signaturbasierte Sicherheitstools zu entgehen.
Wie ModStealer funktioniert
Die Malware etabliert auf macOS Persistenz, indem sie Apples launchctl-Tool missbraucht, sodass sie im Hintergrund als LaunchAgent still ausgeführt werden kann. Die Daten werden dann an einen Remote-Server in Finnland gesendet, der jedoch mit einer Infrastruktur in Deutschland verbunden ist – eine Methode, die vermutlich dazu dient, den tatsächlichen Standort des Betreibers zu verschleiern.
Die Analyse von Mosyle ergab, dass gezielt 56 verschiedene Browser-Wallet-Erweiterungen, darunter auch solche für Safari, angegriffen werden, um private Schlüssel zu extrahieren. Dies unterstreicht die Bedeutung der Nutzung sicherer dezentraler Krypto-Wallets.
Die Malware kann außerdem Daten aus der Zwischenablage erfassen, Screenshots machen und Remote-Code ausführen, was Angreifern nahezu vollständige Kontrolle über ein infiziertes Gerät ermöglicht.
Diese Entdeckung folgt auf weitere kürzliche Sicherheitsverletzungen im Krypto-Ökosystem. Anfang dieser Woche versuchte ein weit verbreiteter NPM-Lieferkettenangriff, Entwickler durch gefälschte E-Mails zu kompromittieren und Zugangsdaten zu stehlen.
Dieser Angriff zielte darauf ab, Transaktionen über mehrere Chains hinweg zu kapern, darunter Ethereum ETH $4 690 24h Volatilität: 3.3% Marktkapitalisierung: $566.28 B Vol. 24h: $36.36 B und Solana SOL $240.5 24h Volatilität: 0.6% Marktkapitalisierung: $130.48 B Vol. 24h: $8.99 B, indem Krypto-Adressen ausgetauscht wurden.
Der Angriff konnte jedoch weitgehend eingedämmt werden, wobei die Angreifer nur etwa $1,000 erbeuteten – eine geringe Summe im Vergleich zu anderen großen Krypto-Diebstählen, bei denen Hacker erfolgreich Millionen an gestohlenen Vermögenswerten gewaschen und reinvestiert haben.
Forscher bei Mosyle glauben, dass ModStealer dem Profil eines „Malware-as-a-Service“ (MaaS)-Betriebs entspricht. Dieses Modell, das bei Cyberkriminellen immer beliebter wird, beinhaltet den Verkauf fertiger Malware an Partner, die nur über minimale technische Kenntnisse verfügen müssen.
Mosyle erklärte, dass die Bedrohung daran erinnert, dass signaturbasierte Schutzmechanismen allein nicht ausreichen und dass verhaltensbasierte Abwehrmaßnahmen notwendig sind, um neuen Angriffsvektoren einen Schritt voraus zu sein.
