Phần mềm độc hại ModStealer mới đánh cắp khóa crypto trên tất cả hệ thống

• Phần mềm độc hại ModStealer đánh cắp dữ liệu ví crypto trên các hệ điều hành macOS, Windows và Linux.
• Nó chủ yếu lây lan thông qua các quảng cáo tuyển dụng giả mạo sử dụng các nhiệm vụ mã JavaScript chưa bị phát hiện.
• Các nhà nghiên cứu cảnh báo rằng các công cụ diệt virus bỏ sót phần mềm độc hại này, nhấn mạnh sự cần thiết của các biện pháp phòng thủ mới.

Một phần mềm độc hại mới được phát hiện có tên ModStealer đang nhắm mục tiêu vào người dùng crypto trên macOS, Windows và Linux, đe dọa ví và thông tin truy cập. Công ty bảo mật tập trung vào Apple, Mosyle, đã phát hiện ra biến thể này sau khi nhận thấy nó không bị phát hiện bởi các công cụ diệt virus lớn trong gần một tháng. Theo các nguồn tin, phần mềm độc hại này đã được tải lên VirusTotal, một nền tảng trực tuyến kiểm tra các tệp tin có chứa nội dung độc hại hay không.

Mosyle báo cáo rằng ModStealer được thiết kế với mã tải sẵn có khả năng trích xuất khóa riêng tư, chứng chỉ, tệp thông tin đăng nhập và các tiện ích mở rộng ví dựa trên trình duyệt. Công ty đã phát hiện logic nhắm mục tiêu vào nhiều loại ví, bao gồm cả những ví được cài đặt trên Safari và các trình duyệt dựa trên Chromium.

Các nhà nghiên cứu cho biết ModStealer tồn tại trên macOS bằng cách đăng ký như một tác nhân chạy nền. Họ đã truy vết cơ sở hạ tầng máy chủ của phần mềm độc hại này đến Phần Lan nhưng tin rằng tuyến đường của nó đi qua Đức để che giấu vị trí của các đối tượng vận hành.

Phân phối thông qua tuyển dụng lừa đảo

Phân tích cho thấy ModStealer đang lây lan thông qua các quảng cáo tuyển dụng giả mạo nhắm vào các nhà phát triển. Kẻ tấn công gửi các nhiệm vụ liên quan đến công việc được nhúng với một tệp JavaScript bị làm rối mạnh nhằm vượt qua phát hiện. Tệp này chứa các đoạn mã tải sẵn nhắm vào 56 tiện ích mở rộng ví trình duyệt, bao gồm cả Safari, cho phép đánh cắp khóa và dữ liệu nhạy cảm.

Mosyle xác nhận rằng cả hệ thống Windows và Linux cũng đều dễ bị tấn công. Điều này khiến ModStealer trở thành một trong số ít các mối đe dọa hoạt động có phạm vi đa nền tảng rộng lớn.

Công ty cho biết ModStealer phù hợp với mô hình Malware-as-a-Service (MaaS). Theo mô hình này, tội phạm mạng xây dựng các bộ công cụ đánh cắp thông tin sẵn sàng sử dụng và bán cho các đối tác không có kỹ năng kỹ thuật. Xu hướng này đã thúc đẩy các cuộc tấn công tăng tốc trong năm 2025, với Jamf báo cáo hoạt động của phần mềm đánh cắp thông tin tăng 28% trong năm nay.

Mosyle lưu ý, “Đối với các chuyên gia bảo mật, nhà phát triển và người dùng cuối, đây là lời nhắc nhở rõ ràng rằng các biện pháp bảo vệ dựa trên chữ ký là chưa đủ. Giám sát liên tục, phòng thủ dựa trên hành vi và nhận thức về các mối đe dọa mới nổi là điều cần thiết để đi trước các đối thủ.”

Mở rộng khả năng của các phần mềm đánh cắp thông tin

ModStealer còn có nhiều khả năng khác ngoài việc đánh cắp tiện ích mở rộng. Nó sẽ chiếm quyền clipboard bằng cách thay thế địa chỉ ví được sao chép bằng địa chỉ thuộc về kẻ tấn công. Điều này cho phép kẻ tấn công thực thi mã từ xa, chụp màn hình hoặc trích xuất tệp tin.

Trên macOS, phần mềm độc hại tận dụng LaunchAgents để đảm bảo khả năng tồn tại lâu dài. Điều này giúp chương trình độc hại tiếp tục hoạt động ngay cả sau khi hệ thống khởi động lại, tạo ra rủi ro lâu dài cho các máy bị nhiễm.

Mosyle giải thích rằng cấu trúc của ModStealer rất giống với các nền tảng MaaS khác. Các đối tác có quyền truy cập vào bộ công cụ phần mềm độc hại đầy đủ chức năng và có thể tùy chỉnh các cuộc tấn công của mình. Công ty bổ sung rằng mô hình này đang thúc đẩy sự mở rộng của các phần mềm đánh cắp thông tin trên nhiều hệ điều hành và ngành công nghiệp khác nhau.

Đầu năm 2025, các cuộc tấn công thông qua các gói npm độc hại, các phụ thuộc bị xâm phạm và tiện ích mở rộng giả mạo đã tiết lộ cách các đối thủ xâm nhập vào môi trường vốn được các nhà phát triển tin tưởng. ModStealer, là bước tiếp theo trong sự tiến hóa này, đã thành công trong việc nhúng mình vào các quy trình làm việc trông hợp pháp, khiến việc phát hiện càng trở nên khó khăn hơn.

Liên quan:

Chuyển dịch từ lỗi mã sang thao túng lòng tin

Các vi phạm an ninh trong lĩnh vực crypto trước đây chủ yếu xuất phát từ các lỗ hổng trong hợp đồng thông minh hoặc phần mềm ví. Nhưng ModStealer đang tham gia vào một sự chuyển dịch mô hình. Những kẻ tấn công không còn chỉ khai thác lỗi hoặc zero-day; họ đang chiếm đoạt lòng tin.

Chúng thao túng cách các nhà phát triển tương tác với nhà tuyển dụng, giả định rằng các công cụ là an toàn và quá phụ thuộc vào các biện pháp bảo vệ diệt virus đã biết. Cách tiếp cận này khiến yếu tố con người trở thành mắt xích yếu nhất trong an ninh mạng.

Các chuyên gia bảo mật khuyến nghị áp dụng các biện pháp nghiêm ngặt. Người dùng nên tách biệt hoạt động ví bằng cách sử dụng các máy riêng biệt hoặc môi trường ảo. Các nhà phát triển cần kiểm tra kỹ lưỡng các nhiệm vụ từ nhà tuyển dụng và điều tra nguồn gốc, kho lưu trữ trước khi thực thi mã. Họ cũng khuyến nghị nên chuyển từ hệ thống diệt virus chỉ dựa trên chữ ký sang các công cụ phát hiện dựa trên hành vi, giải pháp EDR và giám sát thời gian thực.

Các khuyến nghị khác của chuyên gia bao gồm kiểm tra định kỳ các tiện ích mở rộng trình duyệt, giới hạn quyền truy cập và cập nhật phần mềm. Họ cho rằng làm như vậy sẽ giảm thiểu mức độ phơi nhiễm với các mối đe dọa dựa trên ModStealer.