ModStealer оставляет после себя пустые счета и потерянные системы.
Специалисты Mosyle новое вредоносное ПО, получившее название ModStealer. Программа оказалась полностью незаметной для решений и впервые была загружена на VirusTotal почти месяц назад, не вызвав ни одного срабатывания защитных систем. Опасность усугубляется тем, что вредоносный инструмент способен заражать компьютеры под управлением macOS, Windows и Linux.
Распространение осуществляется через поддельные объявления от имени рекрутеров, которые охотятся за разработчиками. Жертве предлагают перейти по ссылке, где её ждёт сильно обфусцированный JavaScript-код, написанный на NodeJS. Такой подход делает программу невидимой для решений, работающих на основе сигнатурного анализа.
Целью ModStealer является кража данных, и разработчики изначально встроили в него функции для извлечения информации из криптовалютных кошельков, файлов с учётными данными, конфигурационных параметров и сертификатов. В коде обнаружена преднастройка для атаки на 56 расширений браузерных кошельков, включая Safari, что позволяет похищать приватные ключи и другую конфиденциальную информацию.
Кроме кражи данных, ModStealer способен перехватывать содержимое буфера обмена, делать снимки экрана и выполнять произвольный код на заражённой системе. Последняя возможность фактически открывает злоумышленникам путь к полному контролю над устройством. На компьютерах Mac программа закрепляется в системе при помощи стандартного инструмента launchctl: она регистрируется как LaunchAgent и после этого может незаметно отслеживать активность пользователя, пересылая похищенные сведения на удалённый сервер. Mosyle удалось установить, что сервер расположен в Финляндии, но при этом завязан на инфраструктуру в Германии, что, вероятно, служит маскировкой реального местонахождения операторов.
По оценке специалистов, ModStealer распространяется по (Ransomware-as-a-Service). В этом случае разработчики создают готовый набор инструментов и продают его клиентам, которые могут использовать его для атак, не обладая глубокими техническими знаниями. Такая схема в последние годы стала популярной среди преступных группировок, особенно при распространении инфостилеров.
По словам Mosyle, обнаружение ModStealer подчёркивает классических антивирусных решений, которые не способны реагировать на такие угрозы. Для защиты в подобных случаях необходимы постоянный мониторинг, анализ поведения программ и повышение осведомлённости пользователей о новых методах атак.
Подробнее:
Специалисты Mosyle новое вредоносное ПО, получившее название ModStealer. Программа оказалась полностью незаметной для решений и впервые была загружена на VirusTotal почти месяц назад, не вызвав ни одного срабатывания защитных систем. Опасность усугубляется тем, что вредоносный инструмент способен заражать компьютеры под управлением macOS, Windows и Linux.
Распространение осуществляется через поддельные объявления от имени рекрутеров, которые охотятся за разработчиками. Жертве предлагают перейти по ссылке, где её ждёт сильно обфусцированный JavaScript-код, написанный на NodeJS. Такой подход делает программу невидимой для решений, работающих на основе сигнатурного анализа.
Целью ModStealer является кража данных, и разработчики изначально встроили в него функции для извлечения информации из криптовалютных кошельков, файлов с учётными данными, конфигурационных параметров и сертификатов. В коде обнаружена преднастройка для атаки на 56 расширений браузерных кошельков, включая Safari, что позволяет похищать приватные ключи и другую конфиденциальную информацию.
Кроме кражи данных, ModStealer способен перехватывать содержимое буфера обмена, делать снимки экрана и выполнять произвольный код на заражённой системе. Последняя возможность фактически открывает злоумышленникам путь к полному контролю над устройством. На компьютерах Mac программа закрепляется в системе при помощи стандартного инструмента launchctl: она регистрируется как LaunchAgent и после этого может незаметно отслеживать активность пользователя, пересылая похищенные сведения на удалённый сервер. Mosyle удалось установить, что сервер расположен в Финляндии, но при этом завязан на инфраструктуру в Германии, что, вероятно, служит маскировкой реального местонахождения операторов.
По оценке специалистов, ModStealer распространяется по (Ransomware-as-a-Service). В этом случае разработчики создают готовый набор инструментов и продают его клиентам, которые могут использовать его для атак, не обладая глубокими техническими знаниями. Такая схема в последние годы стала популярной среди преступных группировок, особенно при распространении инфостилеров.
По словам Mosyle, обнаружение ModStealer подчёркивает классических антивирусных решений, которые не способны реагировать на такие угрозы. Для защиты в подобных случаях необходимы постоянный мониторинг, анализ поведения программ и повышение осведомлённости пользователей о новых методах атак.
Подробнее:
