ModStealer ворует данные криптокошельков на всех ОС
Исследователи компании Mosyle, которая специализируется на кибербезопасности устройств Apple, обнаружила новый вредоносный софт ModStealer, ориентированный на кражу данных криптокошельков на macOS, Windows и Linux.
Этот вредонос нацелен на пользователей, взаимодействующих с Web3 и распространяется преимущественно через фишинговые рассылки о вакансиях и предложениях о работе в Telegram и Discord. После прохождения первичного отбора жертве под видом тестового задания присылают файл, который после запуска разворачивает на устройстве вредоносный код.
ModStealer технически реализован с поддержкой мультиплатформенности за счет использования обфусцированных JavaScript-скриптов на Node.js, что затрудняет обнаружение на этапе загрузки.
На macOS вредонос регистрируется как LaunchAgent через launchctl, что обеспечивает его автозапуск и скрытую фоновую работу. На Windows и Linux используются стандартные сценарии повышения привилегий и интеграции с автозагрузкой. После проникновения на устройство это ПО сканирует систему на предмет наличия криптокошельков, расширений браузеров (Mosyle фиксирует сбор данных более чем с 50 расширений, включая Safari), приватных ключей, cookie-файлов, сертификатов и другой чувствительной информации. Помимо этого, ModStealer способен делать снимки экрана, перехватывать содержимое буфера обмена и выполнять удаленные команды.
Передача персональных данных происходит на удаленный сервер, инфраструктура которого географически распределена и частично маскируется под легитимные хостинги, усложняя отслеживание операторов. Специалисты Mosyle отмечают, что первые экземпляры ModStealer почти месяц оставались вне поля зрения антивирусных решений: образцы были загружены на VirusTotal, но на тот момент не имели ни одной сработавшей сигнатуры.
Для минимизации рисков рекомендуется всем пользователям, которые используют мобильные криптокошельки, задействовать изолированные среды при тестировании подозрительных проектов, не хранить приватные ключи и seed-фразы на смартфоне, а для работы с криптоактивами отдавать предпочтение аппаратным кошелькам.
Крайне важно соблюдать цифровую гигиену и не загружать программное обеспечение из непроверенных источников, даже если оно было прислано в рамках формально легитимного предложения о сотрудничестве.
Однако есть и хороший новости. Как стало известно, в iPhone 17 встроена базовая защита криптовалютных кошельков и можно надеяться, что ModStealer не сможет ее преодолеть.
