Note Chiave
- Un nuovo malware chiamato “ModStealer” prende di mira i wallet crypto su diversi sistemi operativi.
- Si diffonde tramite falsi annunci di reclutatori ed è rimasto inosservato dai principali motori antivirus.
- Il malware può rubare chiavi private da 56 diverse estensioni di wallet per browser.
Un nuovo malware cross-platform chiamato “ModStealer” prende attivamente di mira i wallet crypto restando inosservato dai principali software antivirus.
Secondo quanto riportato, il malware è progettato per rubare dati sensibili dagli utenti su sistemi macOS, Windows e Linux. È stato attivo per quasi un mese prima della sua scoperta.
L’11 settembre, come dettagliato per la prima volta da 9to5Mac, una pubblicazione focalizzata sui prodotti Apple, in una conversazione con la società di gestione dispositivi Apple Mosyle, ModStealer si diffonde tramite falsi annunci di lavoro rivolti agli sviluppatori.
Questo metodo rappresenta una forma di inganno simile a sofisticate truffe di ingegneria sociale che recentemente hanno causato enormi perdite agli utenti crypto.
Oltre ai wallet crypto, il malware prende di mira anche file di credenziali, dettagli di configurazione e certificati. Utilizza un file JavaScript fortemente offuscato scritto con NodeJS per evitare il rilevamento da parte dei tradizionali strumenti di sicurezza basati su firme.
Come Opera ModStealer
Il malware stabilisce la persistenza su macOS abusando dello strumento launchctl di Apple, permettendogli di funzionare silenziosamente in background come LaunchAgent. I dati vengono poi inviati a un server remoto situato in Finlandia ma collegato a infrastrutture in Germania, un metodo probabilmente utilizzato per nascondere la reale posizione dell’operatore.
L’analisi di Mosyle ha rilevato che prende di mira esplicitamente 56 diverse estensioni di wallet per browser, incluse quelle su Safari, per estrarre le chiavi private, sottolineando l’importanza di utilizzare wallet crypto decentralizzati e sicuri.
Il malware può anche catturare dati dagli appunti, fare screenshot ed eseguire codice da remoto, offrendo agli attaccanti un controllo quasi totale sul dispositivo infetto.
Questa scoperta segue altre recenti violazioni della sicurezza nell’ecosistema crypto. All’inizio di questa settimana, un diffuso attacco alla supply chain di NPM ha tentato di compromettere gli sviluppatori utilizzando email contraffatte per rubare credenziali.
Quell’attacco mirava a dirottare transazioni su più chain, tra cui Ethereum ETH $4 690 volatilità 24h: 3,3% Market cap: $566.28 B Vol. 24h: $36.36 B e Solana SOL $240.5 volatilità 24h: 0,6% Market cap: $130.48 B Vol. 24h: $8.99 B, scambiando gli indirizzi crypto.
Tuttavia, è stato in gran parte contenuto, con gli attaccanti che hanno rubato solo circa $1.000, una somma minima rispetto ad altri grandi furti crypto in cui gli hacker sono riusciti a riciclare e reinvestire milioni in asset rubati.
I ricercatori di Mosyle ritengono che ModStealer corrisponda al profilo di un’operazione “Malware-as-a-Service” (MaaS). Questo modello, sempre più popolare tra i cybercriminali, prevede la vendita di malware già pronti ad affiliati che possono avere competenze tecniche minime.
Mosyle ha dichiarato che la minaccia è un promemoria che le protezioni basate solo sulle firme non sono sufficienti e che sono necessarie difese basate sul comportamento per restare al passo con i nuovi vettori di attacco.
