Une souche de logiciels malveillants nouvellement découverte appelée ModStealer a la capacité de contourner les logiciels antivirus et de voler des données à partir de portefeuilles de crypto-monnaie entre les systèmes d’exploitation Windows, Linux et MacOS. Le malware a été révélé jeudi et initialement signalé par 9to5macsur la base des informations de la société de sécurité Mosyle.
ModStealer Crypto-monnarcy Malware a fonctionné non détecté pendant près d’un mois
Modstealer était opérationnel depuis près d’un mois avant la détection, restant caché à des moteurs antivirus proéminents au cours de cette période. Le malware se propage par des publicités trompeuses en matière de recruteurs d’emplois ciblant spécifiquement les développeurs de logiciels. Mosyle a indiqué que cette méthode de distribution garantit que les logiciels malveillants atteignent les individus susceptibles d’installer des environnements Node.js, ce qui en fait des cibles de premier ordre pour les attaques liées à la crypto-monnaie.
La prise en charge multi-plateaux permet un ciblage généralisé
Shān Zhang, directeur de la sécurité de l’information de la société de sécurité de la blockchain, Slowmist, a déclaré que le modsaleur « élude la détection par les solutions antivirus traditionnelles et présente des risques importants pour l’écosystème des actifs numériques plus large ». Zhang a noté que « Contrairement aux voleurs traditionnels, ModStealer se démarque de son support multiplateforme et de sa chaîne d’exécution » zéro-détection « furtive, » permettant des attaques sur plusieurs systèmes d’exploitation simultanément.
Target complet du système cible des actifs cryptographiques
Après l’exécution, ModStealer initie une analyse approfondie des systèmes infectés, à la recherche d’extensions de portefeuille de crypto-monnaie basées sur un navigateur, d’identification du système et de certificats numériques. Sur les systèmes MacOS, le malware utilise un mécanisme de persistance en se faisant passer pour un programme d’assistant de fond. Cette persistance garantit une exécution automatique lors du démarrage du système, en maintenant un fonctionnement continu sans intervention ou sensibilisation de l’utilisateur.
Comment détecter les infections potentielles sur les modsaleurs
Les utilisateurs peuvent identifier d’éventuelles infections à modsaleur en vérifiant ces indicateurs:
- Fichier caché nommé « .sysupDater.dat » sur le système,
- Connexions du réseau sortant à des serveurs suspects ou inconnus,
- Processus de fond inattendus fonctionnant au démarrage,
- Comportement inhabituel d’extension de portefeuille de crypto-monnaie,
- Les tentatives d’accès non autorisées aux certificats numériques.
Zhang a expliqué que « bien que communs isolément, ces méthodes de persistance combinées à une forte obscurcisation rendent le modsaleur résilient contre les outils de sécurité basés sur la signature ».
Menace directe pour les utilisateurs et plateformes des crypto-monnaies
Zhang a mis l’accent sur l’impact potentiel de Modstealer sur les utilisateurs individuels et l’écosystème plus large de la crypto-monnaie. Pour les utilisateurs individuels, « les clés privées, les phrases de semences et les clés d’API d’échange peuvent être compromises, entraînant une perte directe d’actifs ». Pour l’industrie des crypto-monnaies, Zhang a averti que « le vol de masse des données de portefeuille d’extension de navigateur pourrait déclencher des exploits à grande échelle, éroder la confiance et amplifier les risques de la chaîne d’approvisionnement ».
Comment protéger les portefeuilles de crypto-monnaie de Modstealer
Les utilisateurs de crypto-monnaie peuvent implémenter ces mesures de protection:
- Utilisez des portefeuilles matériels au lieu des extensions du navigateur pour des avoirs importants,
- Activer l’authentification multi-facteurs sur tous les comptes de crypto-monnaie,
- Mettre à jour régulièrement les logiciels antivirus et activer la numérisation en temps réel,
- Évitez de cliquer sur des publicités de recrutement d’emploi suspectes,
- Surveiller les processus de démarrage du système pour les applications non autorisées,
- Sauvegarde des phrases de graines hors ligne dans des emplacements physiques sécurisés,
- Utilisez des appareils séparés pour les transactions de crypto-monnaie lorsque cela est possible.
