Uusi haittaohjelmatyyppi: ModStealer
Uusi haittaohjelmatyyppi, joka pystyy livahtamaan virustorjuntatarkastusten ohi ja varastamaan tietoja kryptolompakoista Windows-, Linux- ja macOS-järjestelmissä, löydettiin torstaina. ModStealer-nimellä tunnettu haittaohjelma oli pysynyt suurilta virustorjuntaohjelmilta huomaamatta lähes kuukauden paljastamisen hetkellä.
Jakelutaktiikka ja paljastus
Sen paketti toimitettiin vale työpaikkailmoitusten kautta, jotka kohdistuivat kehittäjiin. Paljastuksen teki turvallisuusyritys Mosyle, ja ensimmäinen raportti julkaistiin 9to5Macilla. Decrypt on ottanut yhteyttä Mosyleen saadakseen lisätietoja.
”Vale työpaikkailmoitusten jakaminen oli Mosylen mukaan tahallinen taktiikka, joka oli suunniteltu tavoittamaan kehittäjiä, jotka todennäköisesti jo käyttivät tai olivat asentaneet Node.js-ympäristöjä.”
ModStealerin toiminta
ModStealer ”väistää havaitsemista valtavirran virustorjuntaratkaisuilla ja aiheuttaa merkittäviä riskejä laajemmalle digitaalisen omaisuuden ekosysteemille”, sanoi Shān Zhang, blockchain-turvallisuusyritys Slowmistin tietoturvajohtaja, Decryptille. ”Toisin kuin perinteiset varastajat, ModStealer erottuu monialustatukensa ja huomaamattoman ’nollahavainnon’ suoritusketjunsa ansiosta.”
Kun haittaohjelma on suoritettu, se skannaa selaimeen perustuvia kryptolompakkolaajennuksia, järjestelmän käyttöoikeustietoja ja digitaalisia sertifikaatteja. Se sitten ”poistaa tiedot etäisiin C2-palvelimiin”, Zhang selitti.
C2, eli ”Komento ja Ohjaus” -palvelin, on keskitetty järjestelmä, jota kyberrikolliset käyttävät hallitakseen ja kontrolloidakseen verkkoon tunkeutuneita laitteita, toimien haittaohjelmien ja kyberhyökkäysten operatiivisena keskuksena.
Infektoitumisen merkit
Apple-laitteilla, joissa on macOS, haittaohjelma asettaa itsensä ”kestävyysmenetelmän” kautta toimimaan automaattisesti joka kerta, kun tietokone käynnistyy, naamioitumalla taustatukiohjelmaksi. Tämä asennus pitää sen toiminnassa hiljaa ilman, että käyttäjä huomaa. Infektoitumisen merkkejä ovat salainen tiedosto nimeltä ”.sysupdater.dat” ja yhteydet epäilyttävään palvelimeen, paljastuksen mukaan.
”Vaikka yleisiä eristyksissä, nämä kestävyysmenetelmät yhdistettynä vahvaan hämärtämiseen tekevät ModStealerista kestävämmän allekirjoituksiin perustuville turvallisuustyökaluille”, Zhang sanoi.
Hyökkäyksen taustat
ModStealerin löytäminen tapahtui Ledgerin teknologiajohtaja Charles Guillemet’n varoituksen jälkeen, joka paljasti tiistaina, että hyökkääjät olivat vaarantaneet NPM-kehittäjätilin ja yrittäneet levittää haitallista koodia, joka voisi hiljaa korvata kryptolompakon osoitteita tapahtumien aikana, asettaen varat vaaraan useilla lohkoketjuilla.
”Jos varasi ovat ohjelmistolompakossa tai pörssissä, olet vain yhden koodin suorittamisen päässä menettämästä kaiken,” Guillemet twiittasi tunteja varoituksensa jälkeen.
Vaikutukset kryptokäyttäjille
Kysyttyään uuden haittaohjelman mahdollisista vaikutuksista, Zhang varoitti, että ModStealer aiheuttaa ”suoran uhan kryptokäyttäjille ja -alustoille”. Loppukäyttäjille ”yksityiset avaimet, siemenlauseet ja pörssin API-avaimet voivat vaarantua, mikä johtaa suoraan omaisuuden menetykseen”, Zhang sanoi, lisäten, että kryptoteollisuudelle ”selaimen laajennuslompakon tietojen massavarastaminen voisi laukaista laajamittaisia on-chain-hyökkäyksiä, heikentäen luottamusta ja lisäämällä toimitusketjun riskejä.”
