Nuevo malware ModStealer roba claves de criptomonedas en todos los sistemas

• El malware ModStealer roba datos de billeteras cripto en sistemas macOS, Windows y Linux.
• Principalmente se propaga a través de anuncios falsos de reclutadores utilizando tareas de código JavaScript indetectables.
• Investigadores advierten que las herramientas antivirus no detectan el malware, lo que resalta la necesidad de nuevas defensas.

Un malware recientemente descubierto llamado ModStealer está apuntando a usuarios cripto en macOS, Windows y Linux, amenazando billeteras y credenciales de acceso. La firma de seguridad enfocada en Apple, Mosyle, descubrió esta variante después de encontrar que permaneció indetectada por los principales motores antivirus durante casi un mes. Según fuentes, el malware fue subido a VirusTotal, una plataforma en línea que revisa archivos en busca de contenido malicioso.

Mosyle informó que ModStealer está diseñado con código precargado capaz de extraer claves privadas, certificados, archivos de credenciales y extensiones de billeteras basadas en navegador. La firma descubrió lógica de ataque para múltiples billeteras, incluidas aquellas instaladas en Safari y navegadores basados en Chromium.

Los investigadores señalaron que ModStealer persiste en macOS registrándose como un agente en segundo plano. Rastrearon la infraestructura del servidor del malware hasta Finlandia, pero creen que su ruta pasa por Alemania para ocultar la ubicación de sus operadores.

Distribución mediante reclutamiento engañoso

El análisis reveló que ModStealer se está propagando a través de anuncios falsos de reclutadores dirigidos a desarrolladores. Los atacantes envían tareas relacionadas con empleos que contienen un archivo JavaScript fuertemente ofuscado diseñado para evadir la detección. Ese archivo contiene scripts precargados dirigidos a 56 extensiones de billeteras de navegador, incluida Safari, permitiendo el robo de claves y datos sensibles.

Mosyle confirmó que tanto sistemas Windows como Linux también son vulnerables. Esto convierte a ModStealer en una de las pocas amenazas activas con un alcance multiplataforma tan amplio.

La firma afirmó que ModStealer se alinea con el perfil de Malware-as-a-Service (MaaS). Bajo este modelo, los ciberdelincuentes construyen kits de robo de información listos para usar y los venden a afiliados que pueden carecer de habilidades técnicas. Esta tendencia ha acelerado los ataques en 2025, con Jamf reportando un aumento del 28% en la actividad de infostealers este año.

Mosyle señaló: “Para los profesionales de la seguridad, desarrolladores y usuarios finales por igual, esto sirve como un recordatorio contundente de que las protecciones basadas únicamente en firmas no son suficientes. El monitoreo continuo, las defensas basadas en el comportamiento y la conciencia sobre amenazas emergentes son esenciales para adelantarse a los adversarios.”

Capacidades en expansión de los infostealers

ModStealer tiene varias otras capacidades además de robar extensiones. Secuestra el portapapeles sustituyendo las direcciones de billetera copiadas por las que pertenecen a los atacantes. Esto permite a los atacantes ejecutar código remoto, capturar pantallas o exfiltrar archivos. 

En macOS, el malware utiliza LaunchAgents para asegurar la persistencia. Esto mantiene el programa malicioso funcionando incluso después de reinicios del sistema, representando un riesgo a largo plazo para las máquinas infectadas.

Mosyle explicó que la construcción de ModStealer se asemeja mucho a la estructura de otras plataformas MaaS. Los afiliados obtienen acceso a kits de malware completamente funcionales y pueden personalizar sus ataques. La firma agregó que este modelo está impulsando la expansión de los infostealers en diferentes sistemas operativos e industrias.

A principios de 2025, ataques mediante paquetes npm maliciosos, dependencias comprometidas y extensiones falsas revelaron cómo los adversarios ingresan en entornos que de otro modo serían confiables para los desarrolladores. ModStealer, como el siguiente paso en esa evolución, logra incrustarse en flujos de trabajo que parecen legítimos, lo que dificulta aún más su detección.

Relacionado:

Un cambio de errores de código a manipulación de confianza

Las brechas de seguridad históricamente han surgido en el ámbito cripto debido a vulnerabilidades en contratos inteligentes o software de billeteras. Pero ModStealer está involucrado en un cambio de paradigma. Sus atacantes ya no solo explotan bugs o vulnerabilidades de día cero; están secuestrando la confianza.

Manipulan la forma en que los desarrolladores interactúan con reclutadores, asumen que las herramientas son seguras y dependen en gran medida de protecciones antivirus conocidas. Este enfoque convierte al factor humano en el eslabón más débil de la ciberseguridad.

Los expertos en seguridad aconsejan un enfoque estricto. Los usuarios deben aislar las actividades de billetera utilizando máquinas separadas o entornos virtuales. Los desarrolladores deben examinar cuidadosamente las tareas de los reclutadores e investigar fuentes y repositorios antes de ejecutar el código. También recomiendan alejarse de los sistemas antivirus basados únicamente en firmas y adoptar herramientas de detección antivirus basadas en comportamiento, soluciones EDR y monitoreo en tiempo de ejecución.

Otras recomendaciones de expertos incluyen auditorías regulares de extensiones de navegador, permisos restringidos y actualizaciones de software. Argumentan que hacerlo reducirá la exposición a amenazas basadas en ModStealer.