Uma nova cepa de malware capaz de escapar das verificações de antivírus e roubar dados de carteiras de criptomoedas em sistemas Windows, Linux e macOS foi descoberta na quinta-feira (11).
Batizado de ModStealer, ele permaneceu indetectável pelos principais motores de antivírus por quase um mês até o momento da divulgação, com seu pacote sendo distribuído por meio de anúncios falsos de recrutamento direcionados a desenvolvedores.
A divulgação foi feita pela empresa de segurança Mosyle, segundo um relatório inicial do 9to5Mac.
Segundo a Mosyle, a distribuição por meio de anúncios falsos de recrutamento foi uma tática intencional, pois tinha como objetivo atingir desenvolvedores que provavelmente já utilizavam ou possuíam ambientes Node.js instalados.
O ModStealer “escapa da detecção pelas soluções antivírus convencionais e representa riscos significativos para o ecossistema mais amplo de ativos digitais”, disse ao Decrypt Shān Zhang, diretor de segurança da informação da empresa de segurança blockchain Slowmist. “Ao contrário dos stealers tradicionais, o ModStealer se destaca pelo suporte multiplataforma e pela cadeia de execução furtiva com ‘detecção zero’.”
Uma vez executado, o malware realiza varredura em extensões de carteiras de criptomoedas baseadas em navegador, credenciais do sistema e certificados digitais.
Em seguida, ele “exfiltra os dados para servidores remotos C2”, explicou Zhang. Um servidor C2, ou “Command and Control” (Comando e Controle), é um sistema centralizado usado por cibercriminosos para gerenciar e controlar dispositivos comprometidos em uma rede, funcionando como o núcleo operacional para malwares e ataques cibernéticos.
Em computadores Apple rodando macOS, o malware se instala por meio de um “método de persistência” para ser executado automaticamente toda vez que o computador é ligado, disfarçando-se como um programa auxiliar em segundo plano.
Essa configuração mantém o malware em execução de forma silenciosa, sem que o usuário perceba. Sinais de infecção incluem um arquivo oculto chamado “.sysupdater.dat” e conexões com um servidor suspeito, segundo a divulgação.
“Embora comuns isoladamente, esses métodos de persistência, combinados com forte ofuscação, tornam o ModStealer resistente a ferramentas de segurança baseadas em assinatura”, disse Zhang.
Ataques no meio cripto
A descoberta do ModStealer surge logo após um alerta relacionado feito pelo CTO da Ledger, Charles Guillemet, que revelou na terça-feira que invasores haviam comprometido uma conta de desenvolvedor NPM e tentado espalhar código malicioso capaz de substituir silenciosamente endereços de carteiras de criptomoedas durante transações, colocando fundos em risco em múltiplas blockchains.
Embora o ataque tenha sido detectado precocemente e falhado, Guillemet observou posteriormente que os pacotes comprometidos estavam conectados ao Ethereum, Solana e outras redes de criptomoedas.
“Se seus fundos estiverem em uma carteira de software ou em uma exchange, você está a uma execução de código de perder tudo”, tuitou Guillemet horas após seu alerta inicial.
Questionado sobre o possível impacto do novo malware, Zhang alertou que o ModStealer representa uma “ameaça direta aos usuários e plataformas de criptomoedas”.
Para os usuários finais, “chaves privadas, frases-semente e chaves de API de exchanges podem ser comprometidas, resultando em perda direta de ativos”, disse Zhang, acrescentando que, para a indústria cripto, “o roubo em massa de dados de carteiras de extensões de navegador poderia desencadear explorações em larga escala on-chain, minando a confiança e ampliando os riscos na cadeia de suprimentos”.
* Traduzido e editado com autorização do Decrypt.
No MB, a sua indicação vale Bitcoin para você e seus amigos. Para cada amigo que abrir uma conta e investir, vocês ganham recompensas exclusivas. Saiba mais!