Güvenlik firması Mosyle, Windows, Linux ve macOS sistemlerinde tarayıcı tabanlı kripto para cüzdanlarından varlıkları sızdırmak için antivirüs yazılımlarını atlatabilen yeni bir çapraz platform kötü amaçlı yazılım olan ModStealer'ı tespit etti.

Yönetici Özeti

Apple cihaz yönetimi ve güvenliği alanında lider olan Mosyle, yeni bir çapraz platform bilgi hırsızı kötü amaçlı yazılım olan ModStealer'ı tespit etti. ModStealer, geleneksel antivirüs algılamasını atlamak için özel olarak tasarlanmış macOS, Windows ve Linux ortamlarını hedeflemektedir. Birincil amacı, kripto para cüzdanları, kimlik bilgileri dosyaları, yapılandırma ayrıntıları ve dijital sertifikalara odaklanarak hassas verilerin dışarı sızdırılmasıdır. Kötü amaçlı yazılım, genellikle yüksek değerli dijital varlıklara sahip olan geliştiricileri hedef alan kötü amaçlı iş ilanları aracılığıyla yayılır.

Olay Detayı

ModStealer, VirusTotal'da ortaya çıkışından bu yana yaklaşık bir ay boyunca büyük antivirüs motorları tarafından tespit edilememiştir. Kötü amaçlı yazılım, geliştiricileri hedef alan kötü amaçlı işe alım ilanları aracılığıyla dağıtılır ve onların yaygın olarak kullandığı Node.js ortamlarından faydalanır. NodeJS ile yazılmış ağır bir şekilde obfuscated JavaScript dosyası kullanarak çalışır ve bu da imza tabanlı savunmaları atlatmasına katkıda bulunur. Mosyle'ın analizi, Safari dahil olmak üzere 56 farklı tarayıcı cüzdan uzantısından özel anahtarları ve hassas hesap bilgilerini çıkarabilecek önceden yüklenmiş kodu ortaya koymaktadır. Kripto hırsızlığının ötesinde, ModStealer; pano yakalama, ekran yakalama ve uzaktan kod yürütme özelliklerine sahiptir ve saldırganlara enfekte sistemler üzerinde geniş kontrol sağlar. macOS'ta, Apple'ın launchctl aracını kötüye kullanarak kalıcılık sağlar, kendisini bir LaunchAgent olarak gömer ve etkinliği sürekli olarak izler ve verileri uzak sunuculara sızdırır. Mosyle, ModStealer'ın Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) profiliyle uyumlu olduğunu öne sürüyor. Blockchain güvenlik firması Slowmist'in Bilgi Güvenliği Baş Sorumlusu Shān Zhang, ModStealer'ı "çoklu platform desteği ve gizli 'sıfır algılama' yürütme zinciri" nedeniyle benzersiz olarak nitelendirdi.

Pazar Etkileri

ModStealer'ın keşfi, dijital varlık ekosistemindeki güvenlik risklerini, özellikle de tarayıcı tabanlı kripto para cüzdanı kullanıcıları için artırmaktadır. Kötü amaçlı yazılımın ana akım antivirüs çözümleri tarafından tespit edilememe yeteneği, imza tabanlı korumaların sınırlamalarını vurgulamakta ve gelişmiş davranışsal savunmaların gerekliliğini ortaya koymaktadır. Bireysel kullanıcılar için, özel anahtarlar, tohum ifadeler ve borsa API anahtarları risk altındadır ve bu da doğrudan varlık kaybına yol açabilir. Daha geniş kripto endüstrisi için, tarayıcı uzantısı cüzdan verilerinin toplu çalınması büyük ölçekli zincir üstü sömürülere yol açabilir, güveni aşındırabilir ve tedarik zinciri risklerini artırabilir. Geliştiricilerin aldatıcı iş ilanları aracılığıyla hedeflenmesi, yazılım tedarik zincirindeki kritik bir güvenlik açığını vurgulamaktadır; bu, haftalık 2 milyardan fazla indirilen paketleri etkileyen NPM tedarik zinciri saldırısı gibi önemli saldırılarda daha önce de kullanılan bir vektördür. Bu geçmiş olay, kötü amaçlı kodun tarayıcı ortamlarında Web3 cüzdanları ile aynı JavaScript yürütme bağlamına nasıl erişebildiğini ve sofistike işlem manipülasyonunu nasıl kolaylaştırabildiğini de göstermiştir.

Uzman Yorumları

Slowmist'ten Shān Zhang, ModStealer'ın "daha geniş dijital varlık ekosistemi için önemli riskler oluşturduğunu" belirterek, "çoklu platform desteği ve gizli 'sıfır algılama' yürütme zinciri"ni vurguladı. Zhang ayrıca son kullanıcılar için "özel anahtarlar, tohum ifadeler ve borsa API anahtarlarının tehlikeye atılabileceği ve doğrudan varlık kaybına yol açabileceği" konusunda uyardı. Kripto endüstrisi için ise "tarayıcı uzantısı cüzdan verilerinin toplu çalınmasının büyük ölçekli zincir üstü sömürülere yol açabileceğini, güveni aşındırabileceğini ve tedarik zinciri risklerini artırabileceğini" ekledi. Mosyle, yalnızca imza tabanlı korumaların yetersizliğini vurgulayarak, sürekli izleme, davranış tabanlı savunmalar ve gelişen tehditlere karşı farkındalık çağrısında bulundu.

Daha Geniş Bağlam

Geliştiricileri hedeflemek için sahte iş teklifleri kullanan saldırı vektörü, daha önce aldatıcı yapay zeka platformları aracılığıyla Fickle gibi bilgi hırsızı kötü amaçlı yazılımlarla Web3 geliştiricilerini hedef alan EncryptHub (diğer adıyla LARVA-208 ve Water Gamayun) gibi finansal motivasyonlu tehdit aktörleri tarafından kullanılan taktikleri yankılamaktadır. Bu gruplar, kripto cüzdanlarına, akıllı sözleşme depolarına ve hassas test ortamlarına erişimleri nedeniyle Web3 geliştiricilerini hedef alırlar ve genellikle geleneksel kurumsal güvenlik kontrolleri olmadan birden fazla merkezi olmayan projede faaliyet gösterirler. Bu olay, gelişmiş gizleme, çapraz zincir desteği ve akıllı adres değiştirme algoritmalarını birleştiren kripto para hırsızlığı yeteneklerinin gelişen karmaşıklığını vurgulamaktadır. Bu bağlam, Web3 güvenlik farkındalığının kritik önemini ve özellikle merkezi olmayan finansın büyümeye devam etmesiyle, kripto para uygulamalarıyla etkileşimde bulunurken proaktif kimlik avı koruması ve Wallet Guard gibi işlem analizi araçları dahil olmak üzere sağlam güvenlik önlemlerine olan ihtiyacı vurgulamaktadır.