Notas clave
- Un nuevo malware llamado “ModStealer” apunta a monederos de criptomonedas en múltiples sistemas operativos.
- Se propaga a través de anuncios falsos de reclutadores y ha permanecido sin ser detectado por los principales motores antivirus.
- El malware puede robar claves privadas de 56 diferentes extensiones de monederos en navegadores.
Un nuevo malware multiplataforma llamado “ModStealer” apunta activamente a monederos de criptomonedas mientras permanece indetectable por los principales programas antivirus.
Según los informes, el malware está diseñado para robar datos sensibles de usuarios en sistemas macOS, Windows y Linux. Ha estado activo durante casi un mes antes de su descubrimiento.
El 11 de septiembre, detallado por primera vez por 9to5Mac, una publicación centrada en productos Apple, en una conversación con la firma de gestión de dispositivos Apple Mosyle, ModStealer se propaga a través de anuncios falsos de reclutadores dirigidos a desarrolladores.
Este método es una forma de engaño similar a sofisticadas estafas de ingeniería social que recientemente han resultado en grandes pérdidas para usuarios de criptomonedas.
Más allá de los monederos de criptomonedas, el malware también apunta a archivos de credenciales, detalles de configuración y certificados. Utiliza un archivo JavaScript fuertemente ofuscado escrito con NodeJS para evitar la detección por herramientas de seguridad tradicionales basadas en firmas.
Cómo opera ModStealer
El malware establece persistencia en macOS abusando de la herramienta launchctl de Apple, permitiéndole ejecutarse silenciosamente en segundo plano como un LaunchAgent. Luego, los datos se envían a un servidor remoto ubicado en Finlandia pero vinculado a infraestructura en Alemania, un método probablemente utilizado para ocultar la ubicación real del operador.
El análisis de Mosyle encontró que apunta explícitamente a 56 diferentes extensiones de monederos en navegadores, incluidas las de Safari, para extraer claves privadas, lo que resalta la importancia de usar monederos de criptomonedas descentralizados y seguros.
El malware también puede capturar datos del portapapeles, tomar capturas de pantalla y ejecutar código remoto, dando a los atacantes un control casi total sobre el dispositivo infectado.
Este descubrimiento sigue a otras recientes brechas de seguridad en el ecosistema cripto. A principios de esta semana, un ataque generalizado a la cadena de suministro de NPM intentó comprometer a desarrolladores utilizando correos electrónicos falsificados para robar credenciales.
Ese ataque tenía como objetivo secuestrar transacciones en múltiples cadenas, incluyendo Ethereum ETH $4 690 volatilidad 24h: 3.3% Capitalización de mercado: $566.28 B Vol. 24h: $36.36 B y Solana SOL $240.5 volatilidad 24h: 0.6% Capitalización de mercado: $130.48 B Vol. 24h: $8.99 B, intercambiando direcciones de criptomonedas.
Sin embargo, fue en gran medida contenido, con los atacantes robando solo alrededor de $1,000, una suma menor en comparación con otros grandes robos de criptomonedas donde los hackers han logrado lavar y reinvertir millones en activos robados.
Los investigadores de Mosyle creen que ModStealer encaja en el perfil de una operación de “Malware como Servicio” (MaaS). Este modelo, cada vez más popular entre los ciberdelincuentes, implica vender malware listo para usar a afiliados que pueden tener habilidades técnicas mínimas.
Mosyle declaró que la amenaza es un recordatorio de que las protecciones basadas solo en firmas no son suficientes y que las defensas basadas en el comportamiento son necesarias para adelantarse a nuevos vectores de ataque.
