Новое кроссплатформенное вредоносное ПО ModStealer уже почти месяц активно атакует криптокошельки, обходя при этом антивирусные программы.
Эксперты по кибербезопасности сообщили, что ModStealer предназначена для кражи конфиденциальных данных пользователей систем macOS, Windows и Linux. Программа распространяется через поддельные объявления о приёме на работу, предназначенные для разработчиков.
Помимо криптокошельков, ModStealer также нацелена на файлы учётных данных, сведения о конфигурации и сертификаты. Она использует сильно запутанную версию JavaScript-файла, написанного на NodeJS, чтобы избежать обнаружения традиционными инструментами безопасности на основе сигнатур.
Вредоносная программа закрепляется в macOS, используя инструмент Apple launchctl, что позволяет ей незаметно работать в фоновом режиме как LaunchAgent. Затем данные отправляются на удалённый сервер, расположенный в Финляндии, но привязанный к инфраструктуре в Германии. Вероятно, чтобы скрыть фактическое местоположение оператора.
Эксперты выяснили, что ModStealer целенаправленно атакует 56 различных расширений для браузеров, в том числе для Safari, чтобы извлечь приватные ключи. Вредоносное ПО также может перехватывать данные из буфера обмена, делать скриншоты и выполнять удалённый вход, предоставляя злоумышленникам практически полный контроль над заражённым устройством.
Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.
