Notas clave
- Un nuevo malware llamado “ModStealer” apunta a billeteras cripto en múltiples sistemas operativos.
- Se propaga a través de anuncios falsos de reclutadores y ha permanecido indetectado por los principales motores antivirus.
- El malware puede robar claves privadas de 56 diferentes extensiones de billeteras en navegadores.
Un nuevo malware multiplataforma llamado “ModStealer” apunta activamente a billeteras cripto mientras permanece indetectado por los principales softwares antivirus.
Según los informes, el malware está diseñado para robar datos sensibles de usuarios en sistemas macOS, Windows y Linux. Ha estado activo durante casi un mes antes de ser descubierto.
El 11 de septiembre, detallado por primera vez por 9to5Mac, una publicación enfocada en productos Apple, en una conversación con la empresa de gestión de dispositivos Apple Mosyle, ModStealer se propaga a través de anuncios falsos de reclutadores dirigidos a desarrolladores.
Este método es una forma de engaño similar a sofisticadas estafas de ingeniería social que recientemente han resultado en grandes pérdidas para usuarios de cripto.
Más allá de las billeteras cripto, el malware también apunta a archivos de credenciales, detalles de configuración y certificados. Utiliza un archivo JavaScript fuertemente ofuscado escrito con NodeJS para evitar la detección por herramientas de seguridad tradicionales basadas en firmas.
Cómo opera ModStealer
El malware establece persistencia en macOS abusando de la herramienta launchctl de Apple, lo que le permite ejecutarse silenciosamente en segundo plano como un LaunchAgent. Luego, los datos se envían a un servidor remoto ubicado en Finlandia pero vinculado a infraestructura en Alemania, un método probablemente utilizado para ocultar la ubicación real del operador.
El análisis de Mosyle encontró que apunta explícitamente a 56 diferentes extensiones de billeteras en navegadores, incluidas las de Safari, para extraer claves privadas, lo que resalta la importancia de usar billeteras cripto descentralizadas y seguras.
El malware también puede capturar datos del portapapeles, tomar capturas de pantalla y ejecutar código remoto, dando a los atacantes un control casi total sobre el dispositivo infectado.
Este descubrimiento sigue a otras recientes brechas de seguridad en el ecosistema cripto. A principios de esta semana, un ataque generalizado a la cadena de suministro de NPM intentó comprometer a desarrolladores usando correos electrónicos falsificados para robar credenciales.
Ese ataque apuntaba a secuestrar transacciones a través de múltiples cadenas, incluyendo Ethereum ETH $4 690 volatilidad 24h: 3.3% Capitalización de mercado: $566.28 B Vol. 24h: $36.36 B y Solana SOL $240.5 volatilidad 24h: 0.6% Capitalización de mercado: $130.48 B Vol. 24h: $8.99 B, intercambiando direcciones cripto.
Sin embargo, fue mayormente contenido, con los atacantes robando solo alrededor de $1,000, una suma menor en comparación con otros grandes robos cripto donde los hackers han logrado lavar y reinvertir millones en activos robados.
Investigadores de Mosyle creen que ModStealer encaja en el perfil de una operación de “Malware como Servicio” (MaaS). Este modelo, cada vez más popular entre los ciberdelincuentes, implica vender malware listo para usar a afiliados que pueden tener habilidades técnicas mínimas.
Mosyle afirmó que la amenaza es un recordatorio de que las protecciones basadas solo en firmas no son suficientes y que las defensas basadas en el comportamiento son necesarias para adelantarse a nuevos vectores de ataque.
