حمله سایبری جدید با بدافزار ModStealer: سرقت کلیدهای خصوصی رمزارزی کاربران مک و ویندوز

پژوهشگران حوزه امنیت سایبری موفق به شناسایی نوع جدیدی از بدافزارهای سرقت اطلاعات شده‌اند که با هدف سرقت کلیدهای خصوصی و دیگر اطلاعات حساس از کیف پول‌های رمزارزی طراحی شده است. این بدافزار، که «موداستیلر» (ModStealer) نام دارد، قابلیت نفوذ به سیستم‌عامل‌های ویندوز، لینوکس و مک‌اواس را دارد و همچنان توسط موتورهای آنتی‌ویروس بزرگ شناسایی نشده است.

بر اساس گزارش منتشر شده توسط شرکت «موسایل» (Mosyle)، این بدافزار پس از ظهور در پلتفرم VirusTotal نزدیک به یک ماه است که در برابر تشخیص آنتی‌ویروس‌های مختلف مخفی مانده است. موسایل که در حوزه مدیریت دستگاه‌های اپل فعالیت می‌کند، اگرچه تمرکز اصلی‌اش بر روی تهدیدات مرتبط با سیستم‌های مک است، اما هشدار داده است که موداستیلر به گونه‌ای طراحی شده است که می‌تواند سیستم‌های ویندوز و لینوکس را نیز هدف قرار دهد.

علاوه بر این، شواهدی وجود دارد که نشان می‌دهد این بدافزار ممکن است به عنوان یک سرویس بدافزار (Malware-as-a-Service) عرضه شده باشد. در این مدل، هکرهای بدون نیاز به دانش فنی عمیق می‌توانند از کدهای مخرب آماده برای توزیع و نصب در چندین پلتفرم بهره‌مند شوند. این نوع کسب‌وکار زیرزمینی، در آن توسعه‌دهندگان بدافزار کتی‌کیت‌های مخرب را به همکاران یا هکرهای دیگر به صورت اجاره‌ای یا با کمیسیون می‌فروشند یا اجاره می‌دهند.

این یافته‌ها نشان می‌دهد که تهدیدات سایبری در حوزه رمزارز همچنان رو به افزایش است و نیاز به تدابیر امنیتی پیشرفته و بروز در این حوزه بیش از پیش احساس می‌شود.

چگونه موداستیلر کاربران حوزه رمزارزها را هدف قرار می‌دهد؟

تحلیل شرکت مسایل (Mosyle) نشان می‌دهد که بدافزار ModStealer از طریق تبلیغات جعلی جذب نیروی کار در حوزه توسعه‌دهندگان، به سیستم‌های هدف نفوذ می‌کند. این بدافزار به دلیل استفاده از فایل JavaScript بسیار پیچیده و مشوش در محیط Node.js، تشخیص آن برای سامانه‌های امنیتی دشوار است.

محیط‌های Node.js که به طور گسترده توسط توسعه‌دهندگان مورد استفاده قرار می‌گیرند و اغلب در حین تست و استقرار نرم‌افزار، مجوزهای سطح بالا دریافت می‌کنند، نقطه‌ضعف مهمی برای مهاجمان محسوب می‌شوند. توسعه‌دهندگان نیز به دلیل دسترسی به اطلاعات حساس مانند کلیدهای خصوصی کیف‌پول‌های رمزارزی، هدف ارزشمندی هستند.

پس از نفوذ، هدف اصلی ModStealer سرقت داده‌ها است. این بدافزار، با کدهای مخرب پیش‌نصب شده، قادر است به حداقل ۵۶ نوع افزونه کیف‌پول مرورگر، از جمله Safari، دسترسی یابد و کلیدهای خصوصی رمزارزها را سرقت کند. همچنین، قابلیت‌هایی مانند خواندن کلیپ‌بورد، ضبط صفحه‌نمایش و اجرای کدهای مخرب از راه دور، این بدافزار را قادر می‌سازد کنترل کامل بر دستگاه‌های آلوده را در اختیار مهاجمان قرار دهد.

مسایل هشدار می‌دهد که عملیات مخفیانه ModStealer، آن را به تهدیدی جدی تبدیل کرده است. این بدافزار، به گونه‌ای طراحی شده است که بدون تشخیص، فعالیت می‌کند و این موضوع، تشخیص مبتنی بر امضاهای امنیتی را با چالش روبه‌رو می‌سازد.

در سیستم‌عامل macOS، ModStealer با ابزار launchctl ادغام می‌شود تا با مخفی‌شدن در پس‌زمینه، هر بار که دستگاه راه‌اندازی می‌شود، فعال گردد. داده‌های سرقت‌شده نیز به سرورهای راه دور در فنلاند ارسال می‌شوند، که ارتباط آن با زیرساخت‌های در آلمان، احتمالاً به منظور پنهان‌سازی محل عملیات است.

شرکت مسایل از توسعه‌دهندگان خواسته است که تنها به تدابیر مبتنی بر امضاهای امنیتی تکیه نکنند و از روش‌های پیشرفته‌تر برای مقابله با تهدیدات سایبری بهره‌مند شوند.

حفاظت‌های مبتنی بر امضا تنها کافی نیستند. نظارت مستمر، تدابیر مبتنی بر رفتار و آگاهی از تهدیدات نوظهور برای محافظت مؤثر در برابر حملات سایبری ضروری است و باید همواره در اولویت قرار گیرند.

تهدیدهای جدید متوجه کاربران ارزهای دیجیتال در سیستم‌عامل‌های مک و ویندوز

با گسترش روزافزون پذیرش رمزارزها در سراسر جهان، تهدیدهای سایبری نیز به شکل فزاینده‌ای به دنبال توسعه مسیرهای حمله پیچیده برای سرقت دارایی‌های دیجیتال هستند. در این میان، نرم‌افزارهای مخرب متعددی در صدر اخبار قرار دارند که یکی از آن‌ها، ModStealer، از جمله تهدیدهای مهم است.

در اوایل ماه جاری، تیم تحقیقاتی شرکت ReversingLabs هشدار دادند درباره وجود یک نوع بدافزار متن‌باز (open-source malware) در قراردادهای هوشمند اتریوم (Ethereum) که قادر است payloadهای مخرب را اجرا کند و هدف آن کاربران حوزه رمزارز است. این بدافزار در قالب کدهای قراردادهای هوشمند قرار گرفته و می‌تواند به صورت مخفیانه دارایی‌های دیجیتال کاربران را سرقت کند.

منبع: کریپتو.نیوز