Il malware ModStealer, che ruba criptovalute in modo non rilevabile, prende di mira i wallet su Mac e Windows. Come fa ModStealer a colpire gli utenti crypto?

I ricercatori di cybersecurity hanno identificato un nuovo malware infostealer progettato per prendere di mira i portafogli di cryptocurrency ed estrarre chiavi private e altre informazioni sensibili su Windows, Linux e macOS, rimanendo al contempo inosservato dai principali motori antivirus.

Il malware, noto come ModStealer, è stato identificato da Mosyle, una piattaforma di sicurezza specializzata nella gestione dei dispositivi Apple, dopo che è riuscito a eludere il rilevamento per settimane dai principali motori antivirus.

“Il malware è rimasto invisibile a tutti i principali motori antivirus da quando è apparso per la prima volta su VirusTotal quasi un mese fa”, ha osservato Mosyle in un rapporto condiviso con 9to5Mac.

Sebbene Mosyle si concentri tipicamente sulle minacce alla sicurezza basate su Mac, ha avvertito che ModStealer è stato progettato in modo tale da poter infiltrarsi anche nei sistemi basati su Windows e Linux. 

Ci sono stati anche segnali che potrebbe essere stato promosso come Malware-as-a-Service, consentendo ai cybercriminali con competenze tecniche minime di distribuirlo su più piattaforme utilizzando codice dannoso già pronto.

Malware-as-a-Service è un modello di business sotterraneo in cui sviluppatori malevoli vendono o affittano kit di malware ad affiliati in cambio di una commissione o di una quota di abbonamento.

Come ModStealer prende di mira gli utenti crypto?

L’analisi di Mosyle ha rilevato che ModStealer veniva distribuito tramite annunci malevoli di reclutatori di lavoro che prendevano principalmente di mira gli sviluppatori. 

Ciò che rende difficile rilevare il malware è il fatto che sia stato programmato utilizzando “un file JavaScript pesantemente offuscato” all’interno di un ambiente Node.js.

Poiché gli ambienti Node.js sono ampiamente utilizzati dagli sviluppatori e spesso ricevono permessi elevati durante il test e il deployment del software, rappresentano un punto di ingresso attraente per gli attaccanti.

Inoltre, gli sviluppatori hanno maggiori probabilità di gestire credenziali sensibili, chiavi di accesso e portafogli crypto come parte del loro flusso di lavoro, rendendoli obiettivi di alto valore.

Come infostealer, una volta che ModStealer è stato consegnato al sistema della vittima, il suo obiettivo principale è l’esfiltrazione dei dati. Il malware è stato trovato pre-caricato con codice dannoso che gli consente di prendere di mira almeno “56 diverse estensioni di portafogli browser, incluso Safari”, per rubare chiavi private crypto, avverte il rapporto.

Tra le altre capacità, ModStealer può recuperare dati dagli appunti, catturare lo schermo della vittima ed eseguire da remoto codice dannoso sul sistema bersaglio, il che, secondo Mosyle, può dare agli attori malevoli “quasi il controllo completo dei dispositivi infetti.”

“Ciò che rende questa scoperta così allarmante è la furtività con cui ModStealer opera. Un malware non rilevabile è un enorme problema per il rilevamento basato sulle firme, poiché può passare inosservato senza essere segnalato,” ha aggiunto.

Su macOS, ModStealer può integrarsi con lo strumento launchctl del sistema, che è un’utilità integrata utilizzata per gestire i processi in background, consentendo al malware di camuffarsi da servizio legittimo ed eseguirsi automaticamente ogni volta che il dispositivo si avvia.

Mosyle ha anche scoperto che i dati estratti dai sistemi delle vittime vengono inoltrati a un server remoto con sede in Finlandia, collegato a infrastrutture in Germania, probabilmente come modo per oscurare la vera posizione degli operatori.

L’azienda di sicurezza ha esortato gli sviluppatori a non fare affidamento esclusivamente sulle protezioni basate sulle firme.

“[..] Le protezioni basate solo sulle firme non sono sufficienti. Il monitoraggio continuo, le difese basate sul comportamento e la consapevolezza delle minacce emergenti sono essenziali per rimanere un passo avanti rispetto agli avversari.”

Nuove minacce contro gli utenti crypto su Mac e Windows

Poiché l’adozione delle crypto è in aumento in tutto il mondo, gli attori delle minacce si sono sempre più concentrati sull’elaborazione di vettori di attacco complessi per sottrarre asset digitali. ModStealer è tutt’altro che l’unica minaccia a fare notizia.

All’inizio di questo mese, i ricercatori di ReversingLabs hanno lanciato l’allarme riguardo a un malware open-source incorporato all’interno di smart contract Ethereum che potrebbe distribuire payload dannosi rivolti agli utenti crypto.