Эксперты компании Mosyle зафиксировали появление нового крайне опасного вредоносного ПО под названием ModStealer, которое представляет серьёзную угрозу для пользователей Windows, macOS и Linux.
Вирус отличается полной невидимостью для антивирусных решений и способен обеспечить злоумышленникам полный удалённый контроль над заражённым устройством.
Программа была впервые загружена на платформу VirusTotal почти месяц назад и не вызвала ни одного срабатывания защитных систем, что говорит о её высокойстепент маскировки. Распространение осуществляется через поддельные объявления от якобы IT-рекрутеров. Жертвам предлагают перейти по ссылке с заманчивым предложением о работе, после чего загружается обфусцированный JavaScript-код на NodeJS. Такой подход позволяет обходить традиционные сигнатурные методы обнаружения.
Основная задача ModStealer — кража конфиденциальных данных. В коде заложены функции для извлечения информации из:
- криптовалютных кошельков;
- файлов с логинами и паролями;
- конфигурационных файлов;
- сертификатов и цифровых ключей.
Специалисты обнаружили, что вирус нацелен на 56 расширений браузерных кошельков, в том числе и на те, что работают в Safari. Это позволяет похищать приватные ключи и данные для доступа к цифровым активам.
Дополнительные функции делают ModStealer ещё опаснее. Например, он умеет перехватывать содержимое буфера обмена, сохранять скриншоты, а также выполнять произвольный код на заражённой системе. Последняя возможность фактически открывает киберпреступникам доступ к управлению устройством в режиме администратора.
На устройствах под управлением macOS вредоносный код закрепляется с помощью стандартного инструмента launchctl, регистрируясь как LaunchAgent. Это даёт вирусу возможность работать в фоне, незаметно отслеживать действия пользователя и передавать похищенные данные на удалённый сервер.
Исследование Mosyle показало, что управляющий сервер размещён в Финляндии, но связан с инфраструктурой в Германии, что, вероятно, используется для маскировки настоящего местоположения операторов атаки.
По оценке аналитиков, ModStealer распространяется по схеме RaaS (Ransomware-as-a-Service) — разработчики создают универсальный вредоносный инструмент и передают его заказчикам. Это делает вирус доступным для использования даже тем, кто не обладает глубокими техническими знаниями. Такая модель в последние годы стала популярной среди преступных группировок, специализирующихся на распространении инфостилеров и кейлоггеров.
Ещё по теме: