بدافزار چندسکویی ModStealer کیف پول های مرورگر و محیط های توسعه دهنده را هدف قرار می دهد

سرقت‌گر چندسکویی جدید کیف‌پول‌های مرورگر و محیط‌های توسعه‌دهنده را هدف قرار می‌دهد

یک گونه بدافزار جدید و مخفی‌کار به نام ModStealer توسط پژوهشگران امنیتی کشف شده است که قادر است از موتورهای آنتی‌ویروس رایج فرار کند و داده‌ها را از کیف‌پول‌های رمزارز مبتنی بر مرورگر در ویندوز، macOS و لینوکس استخراج کند. این کشف که توسط شرکت امنیت نقطه‌پایانی Mosyle افشا و توسط 9to5Mac گزارش شد، تهدیدی تجدیدشده در زنجیره تأمین و مهندسی اجتماعی برای کاربران رمزارز و توسعه‌دهندگان را نشان می‌دهد.

نحوه انتشار ModStealer

تحلیل Mosyle نشان می‌دهد بردار حمله با آگهی‌های کاری دروغین که به‌صورت اختصاصی توسعه‌دهندگان را هدف می‌گیرند آغاز می‌شود. این طعمه عمدی است: توسعه‌دهندگان اغلب محیط‌های اجرای Node.js و ابزارهای مرتبط را نصب دارند، که آن‌ها را به هدف‌هایی جذاب برای بارنامه‌ای که از اکوسیستم جاوااسکریپت بهره می‌برد تبدیل می‌کند. نصاب ModStealer برای مقابله با تشخیص مبتنی بر امضاء آنتی‌ویروس مبهم‌سازی شده است و طبق گزارش‌ها برای تقریباً یک ماه پس از استقرار توسط چندین موتور اصلی شناسایی نشد.

این بدافزار چه کاری انجام می‌دهد

پس از اجرا، ModStealer مجموعه‌ای از گام‌های شناسایی و استخراج را مطابق با اکوسیستم رمزارز انجام می‌دهد. این بدافزار سیستم‌ها را برای افزونه‌های کیف‌پول مرورگر اسکن می‌کند و به‌دنبال کلیدهای خصوصی، عبارات بازیابی (seed phrases)، کلیدهای API صرافی و سایر مدارک احراز هویت می‌گردد. همچنین گذرواژه‌های سیستمی و گواهی‌های دیجیتال را جمع‌آوری کرده و داده‌های سرقت‌شده را به سرورهای فرمان و کنترل (C2) از راه دور ارسال می‌کند. طراحی چندسکویی و زنجیرهٔ اجرایی با «تشخیص صفر» این بدافزار، آن را به تهدیدی بسیار خطرناک برای کاربرانی تبدیل می‌کند که از کیف‌پول‌های نرم‌افزاری یا افزونه‌های مرورگر برای مدیریت رمزارز استفاده می‌کنند.

در دستگاه‌های macOS، ModStealer سعی می‌کند با ثبت شدن به‌عنوان یک برنامهٔ کمکی پس‌زمینه که در هر بار راه‌اندازی سیستم اجرا می‌شود، پایداری برقرار کند. ماشین‌های آلوده ممکن است دارای فایلی مخفی با نام ".sysupdater.dat" باشند و اتصالاتی به سرورهای راه دور مشکوک نشان دهند — شاخص‌هایی که Mosyle در افشای خود برجسته کرده است.

تبعات گسترده‌تر برای امنیت رمزارز

شان ژانگ، مدیر ارشد امنیت اطلاعات در شرکت امنیت بلاک‌چین Slowmist، به Decrypt گفت که ModStealer بیش از یک سرقت فردی است: استخراج دسته‌جمعی داده‌های افزونه‌های کیف‌پول مرورگر می‌تواند امکان بهره‌برداری‌های وسیع در زنجیره را فراهم کند و اعتماد به برنامه‌های غیرمتمرکز را تضعیف کند. مهاجمان با دسترسی به کلیدهای خصوصی یا عبارات بازیابی می‌توانند فوراً کیف‌پول‌ها را خالی کنند یا حملات گسترده‌تری در زنجیرهٔ تأمین ترتیب دهند که چندین کاربر و سرویس را به خطر می‌اندازد.

مطلب مرتبط

Read More

نشت گسترده NPM: بدافزار در کتابخانه های محبوب جاوااسکریپت

نفوذ گسترده در NPM: تزریق بدافزار به کتابخانه‌های محبوب جاوااسکریپتپژوهشگران امنیتی یک حمله بزرگ زنجیره تأمین...

این هشدار هم‌زمان با اخطارهای اخیر از سوی تیم‌های امنیتی دیگر منتشر می‌شود. چارلز گلیمِه، CTO شرکت Ledger، پس از آنکه یک حساب توسعه‌دهنده NPM به‌خطر افتاد و تلاش شد بسته‌های مخربی منتشر شود که می‌توانند آدرس‌های کیف‌پول را هنگام تراکنش به‌صورت پنهانی جایگزین کنند، هشدار داد. ReversingLabs نیز گزارش داد که برخی بسته‌های متن‌باز در کمپین‌هایی استفاده می‌شدند که قراردادهای هوشمند اتریوم برای توزیع بدافزار به کار گرفته شدند — ترفندی پیچیده که مرز بین بردارهای حمله درون‌زنجیره و بیرون‌زنجیره را مبهم می‌کند.

چه کسانی در خطر هستند؟

هر کسی که از کیف‌پول‌های مبتنی بر مرورگر، مدیران بسته‌های جاوااسکریپت یا محیط‌های توسعه استفاده می‌کند، در معرض خطر بالاتری قرار دارد. کیف‌پول‌های نرم‌افزاری و کلیدهای افزونه‌ای به‌ویژه آسیب‌پذیرند چون یک اجرای موفق کد یا بستهٔ به‌خطر افتاده می‌تواند اسرار حساس را فاش کند. صرافی‌ها و پلتفرم‌های حضانتی نیز در معرض خطرند اگر کلیدهای API جمع‌آوری شوند.

کاهش خطر و توصیه‌ها

تیم‌های امنیتی و کاربران رمزارز باید اقدامات احتیاطی زیر را انجام دهند:

• فهرست افزونه‌های نصب‌شده مرورگر را بررسی کنید و افزونه‌های ناشناس یا غیرضروری کیف‌پول را حذف کنید.
• از نصب نرم‌افزار از لینک‌های پیشنهادی ناخواسته از سوی کاریابان یا بسته‌های NPM تأییدنشده خودداری کنید.
• حفاظت نقطه‌پایان را به‌روز نگه دارید و نظارت رفتاری را فعال کنید، نه تنها آنتی‌ویروس مبتنی بر امضاء.
• موجودی‌های بزرگ را در کیف‌پول‌های سخت‌افزاری یا ذخیره‌سازی سرد نگهداری کنید و استفاده از عبارات بازیابی روی دستگاه‌های متصل را به حداقل برسانید.
• به شاخص‌های نفوذ مانند فایل‌های غیرمنتظره (مثلاً ".sysupdater.dat") یا اتصالات خروجی به دامنه‌های C2 مشکوک نظارت داشته باشید.

افشای Mosyle بر خطرات مستمر در زنجیرهٔ تأمین رمزارز تأکید می‌کند: مهاجمان مهندسی اجتماعی، کد مبهم‌شده و پایداری چندسکویی را ترکیب می‌کنند تا ابزارهای توسعه‌دهنده و کیف‌پول‌های مرورگر را هدف قرار دهند. کاربران و سازمان‌ها باید فرض کنند هر اجرای کدی در محیط کیف‌پول نرم‌افزاری می‌تواند به از دست رفتن مستقیم دارایی‌ها منجر شود و از دفاع‌های لایه‌ای برای کاهش سطح حمله و بهبود کشف رخدادها استفاده کنند.

مطلب مرتبط

Read More

لجر استکس: استانداردهای جدید در کیف پول سخت افزاری ارز دیجیتال

لجر استکس: تعریف استانداردهای نوین در کیف پول‌ سخت‌افزاری رمزارزبا افزایش اهمیت دارایی‌های دیجیتال و رشد...