ModStealer โจรกรรมข้อมูลรายใหม่ที่มุ่งเป้าไปที่กระเป๋าเงินคริปโต

  • หลังจากตรวจพบโดย Mosyle ModStealer ก็ไม่ถูกโปรแกรมป้องกันไวรัสตรวจพบมาเกือบเดือนแล้ว
  • มีการแจกจ่ายพร้อมกับโฆษณาหางานนักพัฒนาปลอม และใช้ JavaScript/NodeJS ที่บิดเบือน
  • โดยมุ่งเป้าไปที่ส่วนขยายกระเป๋าสตางค์เบราว์เซอร์ 56 รายการ และขโมยคีย์ส่วนตัว ข้อมูลประจำตัว และใบรับรอง
  • มันคงอยู่บน macOS ในฐานะ LaunchAgent และดึงข้อมูลไปยัง C2 ที่โฮสต์ในฟินแลนด์ซึ่งมีโครงสร้างพื้นฐานในเยอรมนี
Alberto Navarro

นาทีที่ 4

ภาพประกอบของ ModStealer และความปลอดภัยของกระเป๋าเงิน

มัลแวร์ที่เพิ่งค้นพบใหม่เรียกว่า ModStealer กำลังทำให้ผู้ใช้สกุลเงินดิจิทัลต้องได้รับการตรวจสอบ macOS, Windows และ Linuxโดยมุ่งเน้นเป็นพิเศษไปที่กระเป๋าเงินที่ใช้เบราว์เซอร์และข้อมูลรับรองในการเข้าสู่ระบบ

ตามที่บริษัทรักษาความปลอดภัย Mosyle ระบุ โค้ดที่เป็นอันตราย เขาใช้เวลาเกือบเดือนโดยไม่ถูกตรวจพบ โดยโปรแกรมป้องกันไวรัสหลักหลังจากอัปโหลดไปยัง VirusTotal ทำให้ความเสี่ยงเพิ่มขึ้นสำหรับผู้ที่พึ่งพาการป้องกันแบบอิงลายเซ็นเพียงอย่างเดียว

ModStealer คืออะไรและทำงานอย่างไร?

ModStealer เป็น ขโมยข้อมูล มุ่งเป้าไปที่การล้างกระเป๋าเงินและรวบรวมข้อมูลที่ละเอียดอ่อน โดยใช้สคริปต์ JavaScript/NodeJS ที่ถูกบดบังอย่างหนัก เพื่อข้ามลายเซ็นที่ทราบ ช่วยให้สามารถดำเนินการอย่างเงียบๆ และขโมยข้อมูลได้โดยไม่เกิดความสงสัย

เมื่อคอมพิวเตอร์ถูกบุกรุก มัลแวร์จะเปิดใช้งาน การจับภาพคลิปบอร์ด, ภาพหน้าจอ และการดำเนินการคำสั่งระยะไกล ช่วยให้ผู้โจมตีสามารถควบคุมระบบที่ได้รับผลกระทบได้อย่างกว้างขวาง

นักวิจัยยังได้สังเกตเห็นตรรกะเฉพาะสำหรับการโจมตี ส่วนขยายกระเป๋าสตางค์ 56 ใบ ในเบราว์เซอร์ รวมถึงส่วนขยาย Safari และเบราว์เซอร์ที่ใช้ Chromium โดยมีเป้าหมายเพื่อแยก คีย์ส่วนตัว ใบรับรอง และไฟล์ข้อมูลประจำตัว.

มัลแวร์ ModStealer บนหลายแพลตฟอร์ม

เส้นทางการติดเชื้อ: งานปลอมที่มุ่งเป้าไปที่นักพัฒนา

แคมเปญนี้เผยแพร่ผ่าน โฆษณาหางานปลอม โดยมุ่งเป้าไปที่นักพัฒนาและผู้สร้างระบบนิเวศ Web3 ในหลายกรณี ผู้โจมตีจะขอให้ดำเนินการให้เสร็จสมบูรณ์ “งานทดสอบ” หรือดาวน์โหลดแพ็คเกจที่คาดว่าจะไม่เป็นอันตรายซึ่งจริงๆ แล้วติดตั้งโค้ด ModStealer

แนวทางนี้มองหาทีมที่มีอยู่แล้ว Node.js หรือสภาพแวดล้อมการพัฒนาที่คล้ายคลึงกัน เพิ่มความน่าจะเป็นในการดำเนินการสคริปต์และลดการแจ้งเตือนระหว่างกระบวนการติดตั้งให้เหลือน้อยที่สุด

ความคงอยู่ใน macOS และโครงสร้างพื้นฐานการสั่งการและการควบคุม

บนอุปกรณ์ Apple การละเมิดมัลแวร์ เปิดตัว ctl เพื่อลงทะเบียนเป็น ตัวแทนเปิดตัว และรับรองว่าจะคงอยู่หลังจากรีบูต โดยบูรณาการตัวเองเป็นกระบวนการเบื้องหลังโดยไม่ดึงดูดความสนใจของผู้ใช้

ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ การสั่งการและควบคุม (C2) จัดขึ้นในฟินแลนด์ แม้ว่าโครงสร้างพื้นฐานจะดูเหมือน มุ่งหน้าผ่านเยอรมนี เพื่อซ่อนแหล่งที่มาที่แท้จริงของผู้ประกอบการ

สัญญาณของการประนีประนอม ได้แก่ การมีไฟล์ที่ซ่อนอยู่ “.sysupdater.dat” และการเชื่อมต่อขาออกที่ผิดปกติไปยังโดเมนที่น่าสงสัย ซึ่งเป็นสัญญาณที่มีประโยชน์สำหรับทีมตอบสนองต่อเหตุการณ์

กรณีของมัลแวร์ในรูปแบบบริการที่ขยายตัวเต็มที่

นักวิจัยวาง ModStealer ไว้ในโมเดล มัลแวร์ในฐานะบริการ (MaaS)ที่ซึ่งนักพัฒนาขายแพ็คเกจสำเร็จรูปให้กับผู้ร่วมธุรกิจที่มีประสบการณ์ทางเทคนิคเพียงเล็กน้อย ซึ่งช่วยให้แพร่หลายได้ง่ายขึ้น พวกขโมยข้อมูล.

ในแนวทางเดียวกัน รายงานของอุตสาหกรรม เช่น รายงานจาก Jamf ชี้ให้เห็นถึง การเพิ่มขึ้นอย่างมีนัยสำคัญของภัยคุกคามประเภทนี้ ในสภาพแวดล้อม Mac แนวโน้มนี้ตอกย้ำถึงความจำเป็นในการควบคุมความปลอดภัยที่มากกว่าการตรวจจับลายเซ็นแบบง่ายๆ

ผลกระทบต่อระบบนิเวศคริปโตและการโจมตีห่วงโซ่อุปทานล่าสุด

การค้นพบนี้เกิดขึ้นพร้อมๆ กับเหตุการณ์ที่เกิดขึ้นใน NPMโดยที่แพ็คเกจที่เป็นอันตราย (เช่น colortoolsv2 และ mimelib2) พยายาม แลกเปลี่ยนที่อยู่ปลายทาง ในการทำธุรกรรมบน Ethereum, Solana และเครือข่ายอื่น ๆ โดยอาศัยความไว้วางใจของนักพัฒนาในที่เก็บข้อมูลยอดนิยม

ตามคำเตือนจาก Charles Guillemet CTO ของ Ledger ผลกระทบโดยตรงยังคงมีจำกัด ขาดทุนประมาณ 1.000 เหรียญสหรัฐและทีมงานอย่าง Uniswap, MetaMask, Aave, Sui, Trezor และ Lido รายงานว่าพวกเขาไม่ได้รับผลกระทบ อย่างไรก็ตาม ตอนนี้แสดงให้เห็นว่าการโจมตีประเภทนี้ทวีความรุนแรงขึ้นอย่างรวดเร็วเพียงใด

มาตรการปฏิบัติสำหรับผู้ใช้และทีมงานด้านเทคนิค

เพื่อต่อต้านภัยคุกคามเช่น ModStealer ขอแนะนำให้เสริมความแข็งแกร่ง สุขอนามัยของกระเป๋าสตางค์และความปลอดภัยของจุดสิ้นสุดโดยผสมผสานแนวทางปฏิบัติที่ดีเข้ากับการติดตามตามพฤติกรรม

  • ใช้กระเป๋าเงินฮาร์ดแวร์และยืนยันที่อยู่ปลายทางบนหน้าจอ (เลือกอย่างน้อยหกตัวอักษรแรกและสุดท้าย)
  • รักษาโปรไฟล์เบราว์เซอร์หรืออุปกรณ์เฉพาะสำหรับกระเป๋าเงิน โต้ตอบกับส่วนขยายที่เชื่อถือได้เท่านั้น
  • บันทึกวลีเมล็ดพันธุ์แบบออฟไลน์ เปิดใช้งาน MFA และหากเป็นไปได้ ให้ใช้รหัสผ่าน FIDO2
  • แยกสภาพแวดล้อมการพัฒนา ("กล่องพัฒนา") ออกจากกระเป๋าเงิน ("กล่องกระเป๋าเงิน") อย่างเคร่งครัด และเปิดงานทดสอบในหนึ่งเดียว เครื่องเสมือนแบบใช้แล้วทิ้ง.
  • ตรวจสอบผู้รับสมัครและโดเมน ขอให้แชร์การทดสอบผ่านที่เก็บข้อมูลสาธารณะ
  • ใช้การติดตามและตรวจจับพฤติกรรมอย่างต่อเนื่อง บำรุงรักษา OS, เบราว์เซอร์ และส่วนขยายให้เป็นปัจจุบัน

สำหรับนักพัฒนามันเป็นสิ่งสำคัญ ตรวจสอบความถูกต้องตามกฎหมาย ของข้อเสนอการทำงานใด ๆ และควรระวังไฟล์หรือสคริปต์ที่ได้รับผ่านช่องทางที่ไม่ผ่านการตรวจสอบ โดยเฉพาะอย่างยิ่งหากเกี่ยวข้องกับ Node.js

ModStealer ยืนยันว่าการโจรกรรมข้อมูลกำลังพัฒนาไปสู่แคมเปญที่เจาะจงและรอบคอบมากขึ้น การผสมผสานของ การบดบัง ความคงอยู่ และ C2 มันทำให้การตรวจจับทำได้ยาก แต่กลยุทธ์ที่รวมถึงการแบ่งส่วนสภาพแวดล้อม กระเป๋าเงินฮาร์ดแวร์ และการตรวจจับตามพฤติกรรมสามารถลดพื้นผิวการโจมตีได้อย่างมาก

ไม่ลงรอยกัน
บทความที่เกี่ยวข้อง:
คลื่นของการหลอกลวงและมัลแวร์ที่ใช้ประโยชน์จาก Discord

ติดตามเราบน Google News