چکیده
- بدافزار جدیدی به نام ModStealer با عبور از موتورهای آنتیویروس اصلی، دادههای کیف پولهای ارز دیجیتال را هدف قرار میدهد.
- ModStealer از اسکریپتهای NodeJS مبهمشده برای دور زدن دفاعهای مبتنی بر امضا استفاده میکند و از طریق تبلیغات مخرب استخدامکنندگان توزیع میشود.
- این بدافزار بر روی ویندوز، لینوکس و macOS اثر میکند و از استخراج داده، ربودن کلیپبورد و اجرای کد از راه دور پشتیبانی میکند.
یک نوع جدید از بدافزار که بهطور خاص برای سرقت دادههای کیف پولهای ارز دیجیتال طراحی شده است، بهراحتی از سد تمامی موتورهای آنتیویروس اصلی عبور میکند. به گفته شرکت امنیتی Mosyle، این بدافزار با نام ModStealer بیش از یک ماه است که بدون شناسایی توسط اسکنرهای ویروس فعالیت میکند.
محققان Mosyle اظهار داشتند که این بدافزار از طریق تبلیغات مخرب استخدامکنندگان که توسعهدهندگان را هدف قرار میدهند، منتشر میشود و از یک اسکریپت NodeJS بسیار مبهمشده برای دور زدن دفاعهای مبتنی بر امضا استفاده میکند.
این بدافزار با مبهمسازی کدهای خود و استفاده از ترفندهایی که آن را برای ابزارهای آنتیویروس مبتنی بر امضا غیرقابل خواندن میکند، کمتر شناسایی میشود. از آنجایی که این دفاعها بر شناسایی الگوهای کدهای قابل تشخیص متکی هستند، مبهمسازی این الگوها را پنهان میکند و اجازه میدهد اسکریپت بدون شناسایی اجرا شود.
در عمل، این امکان را برای مهاجمان فراهم میکند تا دستورالعملهای مخرب را وارد سیستم کنند و از اسکنهای امنیتی معمول که کدهای ساده و تغییرنیافته را شناسایی میکنند، عبور کنند.
برخلاف اکثر بدافزارهای متمرکز بر مک، ModStealer چند سکویی است و به محیطهای ویندوز و لینوکس نیز حمله میکند. مأموریت اصلی آن استخراج دادهها است و به نظر میرسد کد آن شامل دستورالعملهای از پیش بارگذاری شده برای هدف قرار دادن ۵۶ افزونه کیف پول مرورگر است که برای استخراج کلیدهای خصوصی، اعتبارنامهها و گواهینامهها طراحی شدهاند.
این بدافزار همچنین از ربودن کلیپبورد، تصویر برداری از صفحه و اجرای کد از راه دور پشتیبانی میکند و به مهاجمان امکان میدهد تقریباً کنترل کامل دستگاههای آلوده را در دست بگیرند. در macOS، این کار با ابزار راهاندازی اپل و بهعنوان LaunchAgent انجام میشود.
Mosyle اعلام کرده است که ساختار این بدافزار با پروفایل “بدافزار بهعنوان خدمت” همسو است، جایی که توسعهدهندگان ابزارهای آماده را به افیلیتها با تخصص فنی محدود میفروشند. این مدل باعث افزایش شدید استفاده از ابزارهای اطلاعاتی در سال جاری شده است.
کشف این بدافزار به دنبال حملات اخیر متمرکز بر npm رخ داده است، جایی که بستههای مخرب مانند colortoolsv2 و mimelib2 از قراردادهای هوشمند اتریوم برای مخفی کردن بدافزارهای مرحله دوم استفاده کردهاند. در هر دو مورد، مهاجمان از مبهمسازی و زیرساختهای توسعهدهنده مورد اعتماد برای دور زدن شناسایی استفاده کردند.
ModStealer این الگو را فراتر از مخازن بسته گسترش میدهد و نشان میدهد که چگونه جنایتکاران سایبری تکنیکهای خود را در سراسر اکوسیستمها برای بهخطر انداختن محیطهای توسعهدهنده و هدف قرار دادن مستقیم کیف پولهای ارز دیجیتال ارتقا میدهند.
