«ModStealer» — вредоносное ПО, нацеленное на криптовалютные кошельки, уклоняется от обнаружения антивирусом

ModStealer — это новое кросс-платформенное вредоносное ПО, которое обходит антивирусные инструменты, распространяется через фальшивые объявления о работе и крадет учетные данные криптовалютных кошельков.

Компания по кибербезопасности Mosyle обнаружила опасное новое вредоносное ПО, которое крадет конфиденциальную информацию, уходя от обнаружения стандартными антивирусными системами. Сообщество специалистов по безопасности обнаружило вредоносное ПО ModStealer на VirusTotal почти месяц назад, но оно осталось незамеченным крупными антивирусными движками.

Результаты исследования, впервые подробно описанные на 9to5Mac, показывают, как работает вредоносное ПО ModStealer на различных операционных системах. Этот вирус существует как мультиплатформенный инструмент, основная задача которого — кража данных пользователей. Распространение вредоносного ПО происходит через фальшивые объявления о наборе персонала, нацеленные на разработчиков.

Маскированный файл JavaScript NodeJS работает на компьютерах жертв, не вызывая никаких оповещений от типичного антивирусного программного обеспечения.

Основной целью вредоносного ПО являются персональные данные. Исследователи обнаружили программный код, который нацелен на криптовалютные кошельки, учетные данные для входа, детали конфигурации и сертификаты.

Вредоносное ПО содержит предварительно запрограммированные атаки на 56 расширений браузерных кошельков, включая Safari, что позволяет хакерам красть приватные ключи и данные аккаунтов.

ModStealer также способен перехватывать буфер обмена, делать скриншоты экрана и даже выполнять удаленное выполнение кода. «Первые два действия уже достаточно плохи, но последнее может дать злоумышленникам почти полный контроль над зараженными устройствами», — объяснила компания Mosyle, как сообщает 9to5Mac.

На macOS вредоносное ПО использует собственный инструмент Apple — launchctl, чтобы внедрить себя как LaunchAgent, обеспечивая свое постоянное присутствие на зараженных машинах. Малвара функционирует в скрытом режиме, собирая системные данные, которые затем передаются на финский сервер, подключенный к инфраструктуре, базирующейся в Германии. Таким образом, злоумышленники скрывают свое реальное местоположение.

9to5Mac сообщает, что Mosyle считает ModStealer частью растущего рынка Malware-as-a-Service, где профессиональные хакеры продают готовые вирусы менее опытным преступникам.

«Для специалистов по безопасности, разработчиков и конечных пользователей это служит жестким напоминанием о том, что защита на основе подписей в одиночку недостаточна», — предупреждает Mosyle, как сообщает 9to5Mac.