Una varietà di malware appena scoperta chiamata Modstealer ha la capacità di bypassare il software antivirus e rubare i dati dai portafogli di criptovaluta su Windows, Linux e sistemi operativi MACOS. Il malware è stato rivelato giovedì e inizialmente riportato da 9to5macbasato sulle informazioni della società di sicurezza Mosyle.
Il malware di criptovaluta Modstealer ha funzionato inosservato per quasi un mese
Modstealer era stato operativo per quasi un mese prima del rilevamento, rimanendo nascosto dai principali motori antivirus durante questo periodo. Il malware si diffonde attraverso pubblicità di reclutatore di lavoro ingannevoli che si rivolgono specificamente agli sviluppatori di software. Mosyle ha indicato che questo metodo di distribuzione garantisce che il malware raggiunga le persone che potrebbero avere ambienti Node.js installati, rendendoli obiettivi principali per attacchi legati alla criptovaluta.
Il supporto multipiattaforma abilita un targeting diffuso
Shān Zhang, Chief Information Security Officer presso la società di sicurezza blockchain SlowMist, ha dichiarato che Modstealer “elimina il rilevamento da soluzioni antivirus mainstream e pone rischi significativi per il più ampio ecosistema di attività digitali”. Zhang ha osservato che “a differenza dei tradizionali furti, Modstealer si distingue per il suo supporto multipiattaforma e la catena di esecuzione” di rilevamento zero “in fretta”, consentendo contemporaneamente attacchi attraverso più sistemi operativi.
Obiettivi di scansione di sistema completi.
Dopo l’esecuzione, Modstealer avvia una scansione approfondita dei sistemi infetti, alla ricerca di estensioni del portafoglio di criptovaluta a base di browser, credenziali di sistema e certificati digitali. Sui sistemi MACOS, il malware impiega un meccanismo di persistenza mascherando come programma di supporto di base. Questa persistenza garantisce l’esecuzione automatica all’avvio del sistema, mantenendo un funzionamento continuo senza intervento dell’utente o consapevolezza.
Come rilevare potenziali infezioni da modstealer
Gli utenti possono identificare possibili infezioni da Modstealer controllando questi indicatori:
- File nascosto denominato “.sysupdater.dat” sul sistema,
- Connessioni di rete in uscita a server sospetti o sconosciuti,
- Processi di fondo inaspettati in esecuzione all’avvio,
- Comportamento di estensione del portafoglio insolito di criptovaluta,
- Tentativi di accesso non autorizzati ai certificati digitali.
Zhang ha spiegato che “Sebbene comuni in isolamento, questi metodi di persistenza combinati con una forte offuscamento rendono Resilier Modstealer contro strumenti di sicurezza basati sulla firma”.
Minaccia diretta agli utenti e alle piattaforme di criptovaluta
Zhang ha sottolineato il potenziale impatto di Modstealer sui singoli utenti e sull’ecosistema di criptovaluta più ampio. Per i singoli utenti, “le chiavi private, le frasi di semi e le chiavi API di scambio possono essere compromesse, con conseguente perdita di attività dirette”. Per l’industria della criptovaluta, Zhang ha avvertito che “il furto di massa dei dati del portafoglio di estensione del browser potrebbe innescare exploit su catena su larga scala, erodere la fiducia e amplificare i rischi della catena di approvvigionamento”.
Come proteggere i portafogli di criptovaluta da Modstealer
Gli utenti di criptovaluta possono implementare queste misure protettive:
- Utilizzare portafogli hardware anziché estensioni del browser per partecipazioni significative,
- Abilita l’autenticazione a più fattori su tutti gli account di criptovaluta,
- Aggiorna regolarmente il software antivirus e abilita la scansione in tempo reale,
- Evita di fare clic su pubblicità sospette di assunzioni di lavoro,
- Monitorare i processi di avvio del sistema per applicazioni non autorizzate,
- Frasi di semi di backup offline in luoghi fisici sicuri,
- Utilizzare dispositivi separati per le transazioni di criptovaluta quando possibile.
