Недавно обнаруженное вредоносное ПО под названием ModStealer атакует пользователей криптовалют на системах macOS, Windows и Linux, представляя угрозу для кошельков и учетных данных доступа.
Компания Mosyle, специализирующаяся на безопасности Apple, обнаружила это вредоносное ПО и сообщила, что оно оставалось полностью незамеченным основными антивирусными движками почти месяц после загрузки на VirusTotal — онлайн-платформу, анализирующую файлы для обнаружения вредоносного контента, сообщает 9to5mac.
Mosyle сообщила, что ModStealer предназначено для извлечения данных, с предустановленным кодом, который крадет закрытые ключи, сертификаты, файлы учетных данных и расширения для кошельков на основе браузера. Исследователи в области безопасности обнаружили логику таргетинга для различных кошельков, включая расширения для Safari и браузеров на базе Chromium.
Компания по безопасности заявила, что вредоносное ПО сохраняется на macOS, злоупотребляя системой для регистрации в качестве фонового агента. Команда сообщила, что сервер размещен в Финляндии, но считает, что инфраструктура маршрутизируется через Германию, чтобы скрыть происхождение операторов.
Компания по безопасности предупреждает о фейковых объявлениях о работе
Сообщается, что вредоносное ПО распространяется через фейковые объявления о приеме на работу — тактику, которая все чаще используется для таргетинга разработчиков и создателей Web3.
После установки вредоносного пакета ModStealer внедряется в систему и работает в фоновом режиме. Он перехватывает данные из буфера обмена, делает скриншоты и выполняет удаленные команды.
Стивен Аяйи, технический руководитель аудита DApp и ИИ в компании Hacken, занимающейся безопасностью блокчейна, рассказал Cointelegraph, что вредоносные кампании по набору персонала с использованием мошеннических «тестовых заданий» в качестве механизма доставки вредоносного ПО становятся все более распространенными. Он предупредил разработчиков о необходимости соблюдать дополнительные меры предосторожности при запросе на загрузку файлов или выполнение оценок.
«Разработчики должны проверять подлинность рекрутеров и связанных с ними доменов», — заявил Аяйи Cointelegraph. «Запрашивайте, чтобы задания размещались в публичных репозиториях и выполнялись исключительно в одноразовой виртуальной машине без кошельков, SSH-ключей или менеджеров паролей».
Подчеркивая важность разграничения конфиденциальных активов, Аяйи посоветовал командам поддерживать строгое разделение между их средами разработки и хранилищами кошельков.
«Четкое разделение между средой разработки «dev box» и средой кошелька «wallet box» имеет важное значение», — заявил он Cointelegraph.
Руководитель отдела безопасности Hacken делится практическими шагами для пользователей
Аяйи также подчеркнул важность базовой гигиены кошельков и усиления защиты конечных точек для защиты от угроз, таких как ModStealer.
«Используйте аппаратные кошельки и всегда подтверждайте адреса транзакций на дисплее устройства, проверяя как минимум первые и последние шесть символов перед утверждением», — заявил он Cointelegraph.
Аяйи посоветовал пользователям поддерживать специальный, заблокированный профиль браузера или отдельное устройство, используемое исключительно для операций с кошельками, взаимодействуя только с доверенными расширениями кошельков.
Для защиты учетных записей он рекомендовал хранить seed-фразы в автономном режиме, использовать многофакторную аутентификацию и FIDO2-ключи, когда это возможно.
