Új kártevő vadászik a kriptotárcákra: villámgyorsan terjed a ModStealer
A kriptotárcát használókra új veszély leselkedik: ModStealer néven bukkant fel egy kártevő, amely kifejezetten a böngészőbe épített kriptotárcákat támadja. A célja, hogy megszerezze a privát kulcsokat és más érzékeny adatokat, miközben a háttérben észrevétlenül működik. A legriasztóbb, hogy a szakértők szerint a vírus hónapokon át keringett anélkül, hogy a legtöbb biztonsági szoftver felismerte volna. Cikkünkben bemutatjuk, hogyan működik a ModStealer, kiket fenyeget leginkább, és milyen lépésekkel védekezhetünk ellene.
Mi az a ModStealer és miben különleges?
A ModStealer egy frissen azonosított, több operációs rendszeren is működő kártevő – vagyis Windows, macOS és Linux gépeken egyaránt veszélyt jelent. A felfedezés a Mosyle biztonsági céghez köthető. Ami igazán különlegessé teszi, hogy a kódját szándékosan „elrejti” (ún. obfuscation technikával), így a hagyományos vírusirtók, amelyek ismert minták alapján dolgoznak, egyszerűen nem veszik észre a jelenlétét.
A támadók ráadásul célzottan a kriptovilág felhasználóit veszik célba: a ModStealer előre beépített kódrészletekkel 56 különböző böngésző-tárcabővítményt képes támadni. Így nemcsak privát kulcsokat, hanem jelszavakat, tanúsítványokat és más érzékeny adatokat is megszerezhet a háttérben, mielőtt a felhasználó egyáltalán észrevenné a problémát.
Terjesztés és célpontok
A ModStealer terjesztésénél a támadók gyakran ál-álláshirdetéseket használnak csaliként. Olyan fejlesztőket próbálnak megcélozni, akik Node.js környezetben dolgoznak, mivel ezekben a rendszerekben a fejlesztési folyamat során sokszor lazábbak a biztonsági beállítások, és több jogosultság van megnyitva. Ez megkönnyíti a kártevő számára a bejutást.
A célpontok így nemcsak hétköznapi felhasználók, hanem programozók, blokklánc- és web3-szakemberek, valamint bárki, aki böngészőbővítményen keresztül tárol vagy kezel kriptotárcát.
A ModStealer eszköztára ijesztően széles: képes ellopni a vágólapra másolt adatokat (például wallet-címeket), képernyőképeket készíteni a felhasználó gépéről, sőt távolról futtatni kártékony kódot. Ezek együtt azt jelentik, hogy a támadó nemcsak adatokat szerezhet, hanem szinte teljesen át is veheti az irányítást az áldozat rendszere felett.
Kapcsolódó tartalom: Ezek voltak a leghírhedtebb malware támadások a kriptotérben
Hogyan maradt észrevétlen, és mekkora a kockázat?
A biztonsági szakértők szerint a ModStealer több mint egy hónapon keresztül működött észrevétlenül, anélkül hogy a népszerű vírusellenőrző rendszerek – például a VirusTotal – bármi gyanúsat jeleztek volna. Ez azt mutatja, mennyire ügyesen rejtőzik el a hagyományos védelmi megoldások elől.
Mac számítógépeken a kártevő a LaunchAgent nevű rendszerkomponenst használja ki arra, hogy minden indításkor automatikusan elinduljon. Vagyis hiába kapcsolja ki és indítja újra a felhasználó a gépet, a ModStealer a háttérben újra aktiválódik.
A veszély abban rejlik, hogy a malware nem pusztán adatokat gyűjt. Privát kulcsokat és API-kulcsokat céloz, vagyis olyan érzékeny azonosítókat, amelyek közvetlen hozzáférést adnak kriptotárcákhoz. Ez azt jelenti, hogy a támadók akár azonnal kiüríthetik az áldozatok számláit – figyelmeztetés nélkül.
Védekezés: mit tehetünk, hogy ne essünk áldozatul?
A szakértők szerint több lépés is segíthet abban, hogy a felhasználók elkerüljék a ModStealerhez hasonló támadásokat. Az egyik legfontosabb, hogy nagyobb összegeket soha ne böngészőbővítményben tároljunk, hanem hardveres tárcában, amely offline működik, és így sokkal nehezebb kompromittálni.
Emellett kulcsfontosságú a kétlépcsős hitelesítés használata, valamint a seed phrase – vagyis a helyreállító mondat – offline, biztonságos tárolása. Ezeket nem ajánlott felhőben vagy digitális dokumentumban tartani, mert a malware könnyen hozzáférhetne.
Óvatosságra van szükség az állásajánlatokkal és tesztfeladatokkal kapcsolatban is. A támadók gyakran hirdetéseken keresztül próbálnak gyanútlan fejlesztőket becserkészni, ezért minden letöltött fájlt érdemes sandboxban vagy virtuális gépen futtatni, mielőtt éles környezetben használnánk.
Hasznos a rendszeres ellenőrzés is: ha a háttérben gyanús folyamatok futnak, ismeretlen fájlok jelennek meg (például „.sysupdater.dat”), vagy szokatlan hálózati kapcsolatok aktívak, az mind fertőzésre utalhat.
Végül érdemes olyan biztonsági szoftvereket választani, amelyek nemcsak aláírás-alapú felismerést használnak, hanem a programok viselkedését is elemzik. Így akkor is észrevehetik a kártevőt, ha az új vagy eddig ismeretlen technikát alkalmaz.