برنامج خبيث جديد متخصص في سرقة المعلومات، مودستيلر، تسللت إلى محادثة الأمن السيبراني لقدرتها على مهاجمة مستخدمي العملات المشفرة في macOS و Windows و Linux دون إثارة الشكوك للوهلة الأولى.
شركة الأمن موسيل تم التعرف عليه وتأكيد الكود لقد أمضى شهرًا تقريبًا دون أن يتم اكتشافه يتم اختراق الملفات المصابة من قبل محركات مكافحة الفيروسات الرئيسية بعد إرسالها إلى VirusTotal، وهي فترة طويلة للغاية وتوضح أن الدفاعات التي تعتمد فقط على التوقيعات لا تكفي.
ما هو ModStealer ولماذا يشكل مصدر قلق؟
ModStealer هو سارق البيانات مُصمم لتفريغ المحافظ الرقمية والتقاط بيانات الاعتماد والشهادات وملفات التكوين. أهم ما يميزه هو نص JavaScript/NodeJS مُعتم بشدةمما يجعل من الصعب على برامج مكافحة الفيروسات التعرف على الأنماط المعروفة.
وجد الباحثون منطق الهجوم ضد 56 امتدادًا المحافظ المستندة إلى المتصفح، بما في ذلك تلك سفاري وكروميومبهدف استخراج مفاتيح خاصة وغيرها من المعلومات الحساسة التي تعتبر أساسية للوصول إلى الأموال.
كيف ينتشر ModStealer: إعلانات الوظائف كإغراءات
يوصي المتخصصون في الأمن التشغيلي التحقق من شرعية المجندين والمجالات، يطالبون بتقاسم المهام في المستودعات العامة وفتح أي مادة مشبوهة في آلة افتراضية يمكن التخلص منها، بدون محافظ أو بيانات اعتماد.
المهارات التقنية والمثابرة
بمجرد التنفيذ، يمكّن ModStealer التقاط الحافظة، التقاط لقطات الشاشة و تنفيذ الأوامر عن بعد، مما يمنح المشغلين سيطرة واسعة على المعدات المخترقة.
على نظام macOS، فإنه يضمن استمراريته من خلال إساءة الاستخدام Launchctl للتسجيل كـ وكيل الإطلاق وتشغيله في الخلفية بعد كل إعادة تشغيل. من بين مؤشرات المشاركة يسلط التوثيق الضوء على ملف مخفي يسمى .sysupdater.dat.
يتم توجيه التسرب إلى خادم القيادة والتحكم (C2) استضافت في فنلندا، مع البنية التحتية التي تمر عبر ألمانيا لطمس الأصل الحقيقي، وفقًا لتحليل الشبكة.
نموذج التهرب وMaaS
الاستخدام المكثف ل التعتيم يسمح للبرامج الضارة بالتجاوز الدفاعات القائمة على التوقيع، وهو ما يفسر عدم ظهوره لمدة أسابيع على أجهزة المسح الضوئي التقليدية.
علاوة على ذلك، فإن ModStealer يناسب النمط البرامج الضارة كخدمة (MaaS): حزم جاهزة للاستخدام يمكن للمنتسبين ذوي المعرفة التقنية المحدودة نشرها، مما يسهل انتشار com.infostealers في الأشهر الأخيرة.
التأثير والسياق الأخيران في نظام التشفير البيئي
يتزامن هذا الاكتشاف مع حوادث في نظام التطوير، مثل المنشورات الضارة على الآلية الوقائية الوطنية (على سبيل المثال، colortoolsv2 أو mimelib2) التي حاولت استبدال عناوين الوجهة في معاملات الإيثريوم وسولانا وسلاسل أخرى.
ساعدت التنبيهات التي أصدرها مسؤولو الأمن في القطاع في احتواء الأضرار: وكان التأثير المباشر المبلغ عنه محدودة (حوالي 1.000 دولار)وفرق مثل Uniswap أو MetaMask أو Aave أو Sui أو Trezor أو Lido وأكدوا عدم تأثرهم.
لم يتم تأكيد وجود ضحايا ملموسين لـ ModStealer علنًا حتى الآن، ولكن الجمع بين التخفي والمثابرة والوصول عبر الأنظمة الأساسية يزيد من المخاطر للمستخدمين والمنصات التي تعتمد على ملحقات المتصفح.
إجراءات عملية للحد من المخاطر
- محافظ الأجهزة كلما أمكن ذلك؛ تحقق من عنوان الوجهة على الشاشة (على الأقل الأحرف الستة الأولى والأخيرة).
- إستخدم متصفح مخصص أو ملف تعريف كمبيوتر للمحفظة ويتفاعل فقط مع ملحقات موثوقة.
- حافظ علي عبارات البذور غير المتصلة بالإنترنت، قم بتنشيط MFA واستخدم مفاتيح الوصول FIDO2 عندما تكون متاحة.
- فصل بيئة التطوير بشكل صارم (صندوق التطوير) من بيئة المحفظة (صندوق المحفظة); يفتح الاختبارات في آلة VM يمكن التخلص منها.
- التحقق من المجندين والمجالات؛ كن حذرًا من الملفات/البرامج النصية المرسلة عبر قنوات غير موثوقة، خاصةً إذا كانت تعتمد على Node.js .
- تطبق المراقبة المستمرة والكشف القائم على السلوك؛ والحفاظ على النظام والمتصفحات والإضافات دائما محدث.
يشير كل شيء إلى أن ModStealer يستغل اتجاه MaaS وسطح الهجوم للمتصفحات: مع تقنيات التهرب وسلسلة التنفيذ المنفصلة، تجبرنا على الذهاب خطوة أبعد من برامج مكافحة الفيروسات المعتادة وتعزيز العادات والضوابط على أساس يومي.
