Недавно обнаруженная вредоносная программа атакует пользователей криптовалют в системах macOS, Windows и Linux, представляя серьезную угрозу для кошельков и учетных данных.
Компания Mosyle, специализирующаяся на безопасности экосистемы Apple, первой обнаружила вредоносную программу. По данным исследователей, ModStealer оставалась полностью незамеченной основными антивирусными системами в течение почти месяца после загрузки на платформу VirusTotal. Этот сервис предназначен для анализа файлов на предмет вредоносного содержимого.
Специалисты Mosyle установили, что ModStealer предназначен для извлечения конфиденциальных данных с помощью предустановленного кода, который крадет закрытые ключи, сертификаты, файлы учетных данных и расширений браузерных кошельков. Исследователи обнаружили логику атаки на различные кошельки, включая расширения для браузеров Safari и Chromium.
Эксперты по безопасности отмечают, что вредоносная программа продолжает функционировать в macOS, регистрируясь в системе как фоновый агент. По данным Mosyle, сервер управления расположен в Финляндии, однако инфраструктура, вероятно, проходит через Германию, что позволяет операторам скрыть свое происхождение.
Распространение через поддельные вакансии
Сообщается, что вредоносное программное обеспечение распространяется через поддельные объявления о вакансиях — тактику, которая становится все более популярной для атак на разработчиков в сфере Web3. После установки вредоносного пакета ModStealer внедряется в систему и работает в фоновом режиме, захватывая данные из буфера обмена, делая скриншоты и выполняя удаленные команды.
Стивен Аджайи, технический руководитель отдела аудита DApp и искусственного интеллекта в Hacken, подтвердил, что вредоносные кампании по набору персонала с использованием мошеннических «тестовых заданий» в качестве механизма доставки становятся все более распространенными. Он призвал разработчиков принимать дополнительные меры предосторожности при запросах на загрузку файлов или прохождение оценок.
«Разработчики должны проверять легитимность рекрутеров и связанных доменов», — сказал Аджайи.
Подчеркивая важность разделения конфиденциальных активов, Аджайи посоветовал командам строго разделять среды разработки и хранилища кошельков.
«Требуйте, чтобы задания предоставлялись через публичные репозитории, и открывайте любую задачу исключительно в одноразовой виртуальной машине без кошельков, SSH-ключей или менеджеров паролей», — советует эксперт.
«Четкое разделение между средой разработки «dev box» и средой кошелька «wallet box» крайне важно», — подчеркнул он.
Практические рекомендации по безопасности
Аджайи также подчеркнул важность соблюдения базовой гигиены кошелька и защиты конечных точек для защиты от таких угроз, как Modstealer.
«Используйте аппаратные кошельки и всегда подтверждайте адреса транзакций на дисплее устройства, проверяя как минимум первые и последние шесть символов перед подтверждением», — сказал он.
Аджайи посоветовал пользователям использовать отдельный, заблокированный профиль браузера или отдельное устройство исключительно для работы с кошельком, взаимодействуя только с доверенными расширениями кошелька.
Для защиты аккаунта он рекомендовал офлайн-хранение сид-фраз, многофакторную аутентификацию и, по возможности, использование паролей FIDO2.
No comment