تمكن باحثو الأمن السيبراني من تحديد برنامج ضار جديد لسرقة المعلومات تم تصميمه لاستهداف محافظ العملات المشفرة واستخراج المفاتيح الخاصة وغيرها من المعلومات الحساسة على أنظمة Windows وLinux وmacOS، كل ذلك مع البقاء دون أن يتم اكتشافه بواسطة محركات مكافحة الفيروسات الرئيسية.
ملخص
- يستهدف ModStealer محافظ العملات المشفرة المستندة إلى المتصفح.
- تبين أن البرمجيات الخبيثة تعمل عبر أنظمة Windows وLinux وmacOS.
- قام جهات سيئة بنشر البرمجيات الخبيثة من خلال إعلانات توظيف وهمية.
تم التعرف على البرنامج الخبيث المعروف باسم ModStealer بواسطة Mosyle، وهي منصة أمنية متخصصة في إدارة أجهزة Apple، بعد أن تمكن من التهرب من الكشف لمدة أسابيع عبر محركات مكافحة الفيروسات الرئيسية.
وأشار موزيل في تقرير تمت مشاركته مع 9to5Mac إلى أن "البرمجيات الخبيثة ظلت غير مرئية لجميع محركات مكافحة الفيروسات الرئيسية منذ ظهورها لأول مرة على VirusTotal منذ ما يقرب من شهر".
على الرغم من أن Mosyle تركز عادةً على التهديدات الأمنية المستندة إلى نظام التشغيل Mac، فقد حذرت من أن ModStealer تم تصميمه بطريقة تجعله قادرًا على التسلل إلى أنظمة Windows وLinux أيضًا.
وكانت هناك أيضًا دلائل تشير إلى أنه ربما تم الترويج له باعتباره برنامجًا ضارًا كخدمة ، مما يسمح لمجرمي الإنترنت ذوي الخبرة الفنية البسيطة بنشره عبر منصات متعددة باستخدام تعليمات برمجية خبيثة جاهزة.
Malware-as-a-Service هو نموذج أعمال سري حيث يقوم المطورون الضارون ببيع أو تأجير مجموعات البرامج الضارة إلى الشركات التابعة مقابل عمولة أو رسوم اشتراك.
توصل تحليل Mosyle إلى أن ModStealer تم نشره باستخدام إعلانات توظيف ضارة تستهدف المطورين في المقام الأول.
ما يجعل من الصعب اكتشاف البرامج الضارة هو حقيقة أنه تم ترميزها باستخدام "ملف JavaScript مشوش بشكل كبير" داخل بيئة Node.js.
نظرًا لأن بيئات Node.js تُستخدم على نطاق واسع من قبل المطورين ويتم منحها أذونات مرتفعة أثناء اختبار البرامج ونشرها، فإنها تمثل نقطة دخول جذابة للمهاجمين.
ومن المرجح أيضًا أن يتعامل المطورون مع بيانات الاعتماد الحساسة ومفاتيح الوصول والمحافظ المشفرة كجزء من سير عملهم، مما يجعلهم أهدافًا عالية القيمة.
بصفته سارق معلومات، بمجرد وصول ModStealer إلى نظام الضحية، يكون هدفه الرئيسي هو استخراج البيانات. وقد وُجد أن البرنامج الخبيث مُحمّل مسبقًا ببرمجيات خبيثة تسمح له باستهداف ما لا يقل عن "56 امتدادًا لمحافظ المتصفحات، بما في ذلك Safari"، لسرقة مفاتيح التشفير الخاصة، وفقًا لما حذّر منه التقرير.
ومن بين القدرات الأخرى، يمكن لـ ModStealer استرداد البيانات من الحافظات، والتقاط شاشة الضحية، وتنفيذ التعليمات البرمجية الخبيثة عن بعد على النظام المستهدف، وهو ما حذر منه موزيل والذي قد يمنح الجهات الفاعلة السيئة "سيطرة شبه كاملة على الأجهزة المصابة".
ما يجعل هذا الاكتشاف مثيرًا للقلق هو التخفي الذي يعمل به ModStealer. تُمثل البرمجيات الخبيثة غير القابلة للكشف مشكلة كبيرة في الكشف القائم على التوقيع، إذ يمكن أن تمر دون أن يُلاحظها أحد، حسبما أضافت الشركة.
على نظام macOS، يمكن لـ ModStealer تضمين نفسه باستخدام أداة launchctl الخاصة بالنظام، وهي أداة مدمجة تستخدم لإدارة العمليات الخلفية، مما يسمح للبرامج الضارة بإخفاء نفسها كخدمة شرعية وتشغيلها تلقائيًا في كل مرة يتم فيها تشغيل الجهاز.
ووجد موزيل أيضًا أن البيانات المستخرجة من أنظمة الضحايا يتم إرسالها إلى خادم بعيد مقره في فنلندا، والذي يرتبط بالبنية التحتية في ألمانيا، على الأرجح كوسيلة لإخفاء الموقع الحقيقي للمشغلين.
وحثت شركة الأمن المطورين على تجنب الاعتماد فقط على الحماية القائمة على التوقيع.
الحماية القائمة على التوقيع وحدها لا تكفي. المراقبة المستمرة، والدفاعات القائمة على السلوك، والوعي بالتهديدات الناشئة، كلها أمور أساسية للتفوق على الخصوم.
تهديدات جديدة تستهدف مستخدمي العملات المشفرة على أنظمة Mac وWindows
مع تزايد اعتماد العملات المشفرة حول العالم، ركزت الجهات الفاعلة في مجال التهديدات بشكل متزايد على ابتكار ناقلات هجوم معقدة لسرقة الأصول الرقمية. ولا يُعد ModStealer التهديد الوحيد الذي يتصدر عناوين الأخبار.
في وقت سابق من هذا الشهر، أطلق الباحثون في ReversingLabs جرس الإنذار بشأن وجود برمجيات خبيثة مفتوحة المصدر مضمنة في عقود Ethereum الذكية والتي يمكنها نشر حمولات ضارة تستهدف مستخدمي العملات المشفرة.
