難以偵測的竊取加密貨幣惡意軟體ModStealer針對Mac和Windows錢包，ModStealer如何針對加密貨幣用戶？

網路安全研究人員發現了一種新型的資訊竊取惡意軟體，專門針對加密貨幣錢包，並在Windows、Linux和macOS系統上竊取私鑰及其他敏感資訊，同時能避開主流防毒引擎的偵測。

這款名為ModStealer的惡意軟體由專注於Apple裝置管理的安全平台Mosyle發現，在主流防毒引擎下潛伏數週未被偵測。

Mosyle在與9to5Mac分享的報告中指出：「自從近一個月前首次出現在VirusTotal上以來，該惡意軟體一直未被所有主流防毒引擎偵測到。」

儘管Mosyle通常專注於Mac相關的安全威脅，但其警告ModStealer的設計方式也能滲透進Windows和Linux系統。

還有跡象顯示，該惡意軟體可能以惡意軟體即服務（Malware-as-a-Service）的形式出售，讓技術能力有限的網路犯罪分子也能利用現成的惡意程式碼在多平台部署。

惡意軟體即服務是一種地下商業模式，惡意開發者將惡意軟體套件出售或出租給聯盟成員，以換取佣金或訂閱費。

ModStealer如何針對加密貨幣用戶？

Mosyle的分析發現，ModStealer是透過惡意的招聘廣告投放，主要鎖定開發者族群。

該惡意軟體難以被偵測的原因在於其採用「高度混淆的JavaScript檔案」並運行於Node.js環境中。

由於Node.js環境被開發者廣泛使用，且在軟體測試與部署時常被賦予較高權限，因此成為攻擊者理想的入侵點。

開發者在工作流程中也更有可能處理敏感憑證、存取金鑰及加密貨幣錢包，使其成為高價值目標。

作為資訊竊取工具，ModStealer一旦進入受害者系統，其主要目標即為資料外洩。報告警告，該惡意軟體預載有惡意程式碼，可針對至少「56種不同的瀏覽器錢包擴充功能，包括Safari」，以竊取加密貨幣私鑰。

除了上述功能外，ModStealer還能從剪貼簿擷取資料、擷取受害者螢幕畫面，並能遠端在目標系統執行惡意程式碼，Mosyle警告這可能讓攻擊者「幾乎完全掌控受感染裝置」。

「這項發現令人震驚的地方在於ModStealer的隱蔽性。無法被偵測的惡意軟體對於基於特徵碼的偵測方式來說是一大難題，因為它可以悄無聲息地潛伏而不被發現。」報告補充道。

在macOS系統上，ModStealer可嵌入系統內建的launchctl工具，該工具用於管理背景程序，使惡意軟體偽裝成合法服務，並在每次裝置啟動時自動運行。

Mosyle還發現，從受害者系統擷取的資料會被轉發至位於芬蘭的遠端伺服器，該伺服器與德國的基礎設施有關聯，這很可能是為了掩蓋操作者的真實位置。

該安全公司呼籲開發者不要僅依賴基於特徵碼的防護措施。

「[…] 僅靠特徵碼防護是不夠的。持續監控、基於行為的防禦，以及對新興威脅的警覺，對於領先對手至關重要。」

針對Mac與Windows加密貨幣用戶的新威脅

隨著全球加密貨幣採用率持續上升，威脅行為者越來越專注於設計複雜的攻擊手法來竊取數位資產。ModStealer絕非唯一受到關注的威脅。

本月稍早，ReversingLabs的研究人員就曾發出警告，指出有開源惡意軟體被嵌入Ethereum智能合約中，可能部署惡意載荷針對加密貨幣用戶發動攻擊。