برنامج ModStealer الخبيث الذي يسرق العملات الرقمية بشكل غير قابل للكشف يستهدف المحافظ على أجهزة Mac و Windows. كيف يستهدف ModStealer مستخدمي العملات الرقمية؟

حدد باحثو الأمن السيبراني برنامجاً خبيثاً جديداً من نوع infostealer تم تصميمه لاستهداف محافظ cryptocurrency واستخراج المفاتيح الخاصة وغيرها من المعلومات الحساسة على أنظمة Windows وLinux وmacOS، مع بقائه غير مكتشف من قبل محركات مكافحة الفيروسات الرئيسية.

تم تحديد البرنامج الخبيث، المعروف باسم ModStealer، من قبل Mosyle، وهي منصة أمنية متخصصة في إدارة أجهزة Apple، بعد أن تمكن من التهرب من الكشف لأسابيع عبر محركات مكافحة الفيروسات الرئيسية.

ذكرت Mosyle في تقرير شاركته مع 9to5Mac: "ظل البرنامج الخبيث غير مرئي لجميع محركات مكافحة الفيروسات الرئيسية منذ ظهوره الأول على VirusTotal قبل نحو شهر".

على الرغم من أن Mosyle تركز عادةً على التهديدات الأمنية القائمة على أجهزة Mac، إلا أنها حذرت من أن ModStealer تم تصميمه بطريقة تمكنه من التسلل إلى أنظمة Windows وLinux أيضاً. 

كانت هناك أيضاً مؤشرات على أنه قد تم الترويج له كخدمة Malware-as-a-Service، مما يسمح لمجرمي الإنترنت ذوي الخبرة التقنية المحدودة بنشره عبر منصات متعددة باستخدام كود خبيث جاهز.

Malware-as-a-Service هو نموذج أعمال سري حيث يبيع أو يؤجر المطورون الخبيثون مجموعات برامج خبيثة للوكلاء مقابل عمولة أو رسوم اشتراك.

كيف يستهدف ModStealer مستخدمي العملات الرقمية؟

وجد تحليل Mosyle أن ModStealer كان يُنشر باستخدام إعلانات مجندي وظائف خبيثة تستهدف بشكل أساسي المطورين. 

ما يجعل البرنامج الخبيث صعب الاكتشاف هو حقيقة أنه تمت برمجته باستخدام "ملف JavaScript مشفر بشكل كبير" ضمن بيئة Node.js.

ونظراً لأن بيئات Node.js تُستخدم على نطاق واسع من قبل المطورين وغالباً ما تُمنح أذونات مرتفعة أثناء اختبار البرمجيات ونشرها، فإنها تشكل نقطة دخول جذابة للمهاجمين.

كما أن المطورين أكثر عرضة للتعامل مع بيانات اعتماد حساسة، ومفاتيح وصول، ومحافظ العملات الرقمية كجزء من سير عملهم، مما يجعلهم أهدافاً ذات قيمة عالية.

بصفته برنامج infostealer، بمجرد أن يتم تسليم ModStealer إلى نظام الضحية، يكون هدفه الرئيسي هو استخراج البيانات. وقد تم العثور على البرنامج الخبيث محملاً مسبقاً بكود خبيث يسمح له باستهداف ما لا يقل عن "56 إضافة لمحافظ المتصفح المختلفة، بما في ذلك Safari"، لسرقة المفاتيح الخاصة بالعملات الرقمية، حسبما حذر التقرير.

من بين قدراته الأخرى، يمكن لـ ModStealer استرجاع البيانات من الحافظة، والتقاط شاشة الضحية، وتنفيذ كود خبيث عن بُعد على النظام المستهدف، وهو ما حذرت Mosyle من أنه يمكن أن يمنح الفاعلين السيئين "سيطرة شبه كاملة على الأجهزة المصابة".

وأضافت: "ما يجعل هذا الاكتشاف مقلقاً للغاية هو التخفي الذي يعمل به ModStealer. فالبرامج الخبيثة غير القابلة للاكتشاف تمثل مشكلة كبيرة لأنظمة الكشف القائمة على التوقيعات، حيث يمكنها المرور دون أن يلاحظها أحد".

على نظام macOS، يمكن لـ ModStealer أن يدمج نفسه مع أداة launchctl الخاصة بالنظام، وهي أداة مدمجة تُستخدم لإدارة العمليات الخلفية، مما يسمح للبرنامج الخبيث بالتنكر كخدمة شرعية وتشغيل نفسه تلقائياً في كل مرة يبدأ فيها الجهاز.

كما وجدت Mosyle أن البيانات المستخرجة من أنظمة الضحايا يتم إرسالها إلى خادم بعيد مقره في فنلندا، مرتبط ببنية تحتية في ألمانيا، على الأرجح كوسيلة لإخفاء الموقع الحقيقي للمشغلين.

حثت شركة الأمن المطورين على عدم الاعتماد فقط على الحماية القائمة على التوقيعات.

"[..] الحماية القائمة على التوقيعات وحدها ليست كافية. المراقبة المستمرة، والدفاعات القائمة على السلوك، والوعي بالتهديدات الناشئة ضرورية للبقاء متقدماً على الخصوم."

تهديدات جديدة تستهدف مستخدمي العملات الرقمية على Mac وWindows

مع تزايد تبني العملات الرقمية في جميع أنحاء العالم، ركز الفاعلون السيئون بشكل متزايد على ابتكار طرق هجوم معقدة لسحب الأصول الرقمية. ModStealer ليس التهديد الوحيد الذي يتصدر العناوين.

في وقت سابق من هذا الشهر، دق الباحثون في ReversingLabs ناقوس الخطر بشأن برنامج خبيث مفتوح المصدر مدمج ضمن عقود Ethereum الذكية يمكنه نشر حمولات خبيثة تستهدف مستخدمي العملات الرقمية.