ModStealer краде дані криптогаманців на всіх ОС
Дослідники компанії Mosyle, що спеціалізується на кібербезпеці пристроїв Apple, виявила новий шкідливий софт ModStealer, орієнтований на крадіжку даних криптогаманців на macOS, Windows і Linux.
Цей шкідливий код націлений на користувачів, які взаємодіють з Web3, та шириться переважно через фішингові розсилки про вакансії та пропозиції щодо роботи в Telegram та Discord. Після проходження первинного відбору жертві під виглядом тестового завдання надсилають файл, який після запуску розгортає на пристрої шкідливий код.
ModStealer технічно реалізований з підтримкою мультиплатформовості завдяки використанню обфускованих JavaScript-скриптів на Node.js, що ускладнює виявлення на етапі завантаження.
На macOS шкідливий код реєструється як LaunchAgent через launchctl, що забезпечує його автозапуск і приховану фонову роботу. На Windows і Linux використовуються стандартні сценарії підвищення привілеїв та інтеграції з автозавантаженням. Після проникнення на пристрій це ПЗ сканує систему на наявність криптогаманців, розширення браузерів (Mosyle фіксує збір даних із понад 50 розширень, зокрема Safari), приватних ключів, cookie-файлів, сертифікатів та іншої чутливої інформації. Крім цього, ModStealer здатний робити знімки екрана, перехоплювати вміст буфера обміну та виконувати віддалені команди.
Передавання персональних даних відбувається на віддалений сервер, інфраструктура якого географічно розподілена і частково маскується під легітимні хостинги, ускладнюючи відстеження операторів. Фахівці Mosyle зазначають, що перші екземпляри ModStealer майже місяць залишалися поза увагою антивірусних рішень: зразки були завантажені на VirusTotal, але на той момент не мали жодної сигнатури, що спрацювала.
Для мінімізації ризиків рекомендується всім користувачам, які використовують мобільні криптогаманці, використовувати ізольовані середовища під час тестування підозрілих проєктів, не зберігати приватні ключі та seed-фрази на смартфоні, а для роботи з криптоактивами віддавати перевагу апаратним гаманцям.
Вкрай важливо дотримуватися цифрової гігієни і не завантажувати програмне забезпечення з неперевірених джерел, навіть якщо воно було надіслано в межах формально легітимної пропозиції про співпрацю.
Однак є і хороші новини. Як стало відомо, в iPhone 17 вбудовано базовий захист криптовалютних гаманців і можна сподіватися, що ModStealer не зможе його подолати.
