بدافزار چندسکویی ModStealer کیف پول های مرورگر و محیط های توسعه دهنده را هدف قرار می دهد

بدافزار چندسکویی جدید ModStealer کیف‌پول‌های مرورگر و محیط‌های توسعه‌دهنده را هدف قرار می‌دهد

محققان امنیتی یک گونهٔ جدید و مخفی از بدافزار به نام ModStealer را کشف کرده‌اند که قادر است از تشخیص اغلب موتورهای آنتی‌ویروس بگریزد و از کیف‌پول‌های رمزارز مبتنی بر مرورگر در پلتفرم‌های Windows، macOS و Linux اطلاعات را استخراج کند. این کشف که توسط شرکت امنیت نقطه‌پایانی Mosyle اعلام و در 9to5Mac گزارش شد، بار دیگر تهدیدهای زنجیرهٔ تأمین و مهندسی اجتماعی را برای کاربران و توسعه‌دهندگان رمزارز برجسته می‌سازد.

نحوهٔ انتشار ModStealer

تحلیل Mosyle نشان می‌دهد بردار حمله با آگهی‌های جعلی استخدام که به‌طور خاص توسعه‌دهندگان را هدف می‌گیرد آغاز می‌شود. طعمه عمدی است: توسعه‌دهندگان اغلب محیط‌های اجرایی Node.js و ابزارهای مرتبط را نصب دارند که آن‌ها را به اهداف جذابی برای payloadهایی که از اکوسیستم JavaScript بهره می‌برند تبدیل می‌کند. نصب‌کنندهٔ ModStealer برای مقابله با تشخیص مبتنی بر امضا مبهم‌سازی شده و گزارش‌ها حاکی است که تقریباً تا یک ماه پس از استقرار توسط چند موتور بزرگ شناسایی نشده بود.

چه کاری انجام می‌دهد

پس از اجرا، ModStealer مجموعه‌ای از عملیات شناسایی و استخراج داده را که به اکوسیستم رمزارز مرتبط است انجام می‌دهد. این بدافزار سیستم‌ها را برای افزونه‌های کیف‌پول مرورگر اسکن می‌کند و به‌دنبال کلیدهای خصوصی، عبارات بازیابی (seed phrases)، کلیدهای API صرافی و سایر اطلاعات احراز هویت می‌گردد. همچنین گذرواژه‌های سیستم و گواهی‌های دیجیتال را استخراج کرده و داده‌های سرقت‌شده را به سرورهای فرمان و کنترل (C2) ارسال می‌کند. طراحی چندسکویی و زنجیرهٔ اجرای «بدون تشخیص» آن، ModStealer را به تهدیدی جدی برای کاربران کیف‌پول نرم‌افزاری و افزونه‌های مرورگر در مدیریت رمزارز تبدیل می‌کند.

در دستگاه‌های macOS، ModStealer تلاش می‌کند با ثبت خود به‌عنوان یک برنامهٔ کمکی پس‌زمینه که در هر بار راه‌اندازی سیستم اجرا می‌شود، پایداری ایجاد کند. ماشین‌های آلوده ممکن است حاوی فایلی پنهان با نام ".sysupdater.dat" باشند و اتصالاتی به سرورهای راه دور مشکوک نشان دهند — شاخص‌هایی که Mosyle در افشای خود ذکر کرده است.

پیامدهای گسترده‌تر برای امنیت رمزارز

شان ژانگ (Shān Zhang)، مدیر ارشد امنیت اطلاعات در شرکت امنیت بلاک‌چین Slowmist، به Decrypt گفت که ModStealer فراتر از یک سرقت فردی است: استخراج انبوه داده‌های کیف‌پول‌های افزونه‌ای مرورگر می‌تواند به بهره‌برداری‌های بزرگ‌مقیاس در زنجیره (on-chain) منجر شود و اعتماد به برنامه‌های غیرمتمرکز را تضعیف کند. مهاجمانی که به کلیدهای خصوصی یا عبارات بازیابی دسترسی داشته باشند می‌توانند فوراً کیف‌پول‌ها را تخلیه کنند یا حملات گسترده‌تری در زنجیرهٔ تأمین ترتیب دهند که چندین کاربر و سرویس را به خطر اندازد.

مطلب مرتبط

Read More

نشت گسترده NPM؛ بدافزار در کتابخانه های محبوب جاوااسکریپت

نشت گسترده NPM بدافزار را در کتابخانه‌های محبوب جاوااسکریپت تزریق کردپژوهشگران امنیتی یک حملهٔ گستردهٔ زنجیره‌تأمین...

این هشدار هم‌زمان با اطلاعیه‌های اخیر تیم‌های دیگر امنیتی منتشر شده است. چارلز گیومه، مدیر ارشد فناوری Ledger، پس از آنکه یک حساب توسعه‌دهنده در NPM به خطر افتاد و تلاش شد بسته‌های مخربی منتشر شود که می‌توانند آدرس‌های کیف‌پول را هنگام تراکنش به‌طور بی‌صدا جایگزین کنند، هشدار داد. ReversingLabs نیز گزارش داد که برخی بسته‌های متن‌باز در کمپین‌هایی استفاده شده‌اند که در آن قراردادهای هوشمند اتریوم برای توزیع بدافزار به کار رفته‌اند — تاکتیکی پیشرفته که مرز بین بردارهای حملهٔ درون‌زنجیره‌ای و برون‌زنجیره‌ای را مبهم می‌سازد.

چه کسانی در معرض خطرند؟

هر کسی که از کیف‌پول‌های مبتنی بر مرورگر، مدیران بستهٔ JavaScript یا محیط‌های توسعه استفاده می‌کند در معرض خطر بالاتری قرار دارد. کیف‌پول‌های نرم‌افزاری و کلیدهای مبتنی بر افزونه به‌ویژه آسیب‌پذیرند چرا که تنها یک اجرای موفق کد یا یک بستهٔ آلوده می‌تواند اسرار حساس را فاش کند. صرافی‌ها و پلتفرم‌های نگهداری دارایی نیز در صورتی که کلیدهای API استخراج شوند، در معرض تهدید قرار می‌گیرند.

کاهش خطر و توصیه‌ها

تیم‌های امنیتی و کاربران رمزارز به‌طور انفرادی باید احتیاط‌های زیر را مدنظر قرار دهند:

• افزونه‌های نصب‌شدهٔ مرورگر را مرور و بررسی کنید و افزونه‌های کیف‌پول ناشناس یا غیرضروری را حذف نمایید.
• از نصب نرم‌افزار از لینک‌های استخدام‌کنندهٔ ناخواسته یا بسته‌های NPM تأییدنشده خودداری کنید.
• محافظت نقطه‌پایانی را به‌روز نگه داشته و نظارت رفتاری را فعال کنید، نه فقط تکیه بر آنتی‌ویروس مبتنی بر امضا.
• موجودی‌های بزرگ را در کیف‌پول‌های سخت‌افزاری یا ذخیره‌سازی سرد نگهداری کنید و استفاده از عبارات بازیابی را روی دستگاه‌های متصل محدود نمایید.
• به دنبال شاخص‌های نفوذ مانند فایل‌های غیرمنتظره (مثلاً ".sysupdater.dat") یا اتصالات خروجی به دامنه‌های C2 مشکوک باشید.

افشای Mosyle خطرات مداوم در زنجیرهٔ تأمین رمزارز را برجسته می‌کند: مهاجمان مهندسی اجتماعی، کد مبهم‌سازی‌شده و پایداری چندسکویی را ترکیب می‌کنند تا ابزارهای توسعه و کیف‌پول‌های مرورگر را هدف گیرند. کاربران و سازمان‌ها باید فرض کنند هر اجرای کد در محیط کیف‌پول نرم‌افزاری می‌تواند منجر به از دست رفتن مستقیم دارایی‌ها شود و از دفاع‌های چندلایه برای کاهش سطح حمله و بهبود کشف حوادث استفاده کنند.

مطلب مرتبط

Read More

ردیابی حمله مهندسی اجتماعی که منجر به سرقت 783 بیت کوین شد

یک محقق زنجیره‌بلوک که با نام ZachXBT شناخته می‌شود، یک حمله بزرگ مهندسی اجتماعی را ردیابی...