Ваш антивирус бесполезен. Полный контроль над Mac, Windows и Linux — теперь это цель нового вируса

leer en español

Mosyle ModStealer macOS Windows Linux инфостилер кибератаки
Ваш антивирус бесполезен. Полный контроль над Mac, Windows и Linux — теперь это цель нового вируса
Mosyle ModStealer macOS Windows Linux инфостилер кибератаки

ModStealer оставляет после себя пустые счета и потерянные системы.

image

Специалисты Mosyle обнаружили новое вредоносное ПО, получившее название ModStealer. Программа оказалась полностью незаметной для антивирусных решений и впервые была загружена на VirusTotal почти месяц назад, не вызвав ни одного срабатывания защитных систем. Опасность усугубляется тем, что вредоносный инструмент способен заражать компьютеры под управлением macOS, Windows и Linux.

Распространение осуществляется через поддельные объявления от имени рекрутеров, которые охотятся за разработчиками. Жертве предлагают перейти по ссылке, где её ждёт сильно обфусцированный JavaScript-код, написанный на NodeJS. Такой подход делает программу невидимой для решений, работающих на основе сигнатурного анализа.

Целью ModStealer является кража данных, и разработчики изначально встроили в него функции для извлечения информации из криптовалютных кошельков, файлов с учётными данными, конфигурационных параметров и сертификатов. В коде обнаружена преднастройка для атаки на 56 расширений браузерных кошельков, включая Safari, что позволяет похищать приватные ключи и другую конфиденциальную информацию.

Кроме кражи данных, ModStealer способен перехватывать содержимое буфера обмена, делать снимки экрана и выполнять произвольный код на заражённой системе. Последняя возможность фактически открывает злоумышленникам путь к полному контролю над устройством. На компьютерах Mac программа закрепляется в системе при помощи стандартного инструмента launchctl: она регистрируется как LaunchAgent и после этого может незаметно отслеживать активность пользователя, пересылая похищенные сведения на удалённый сервер. Mosyle удалось установить, что сервер расположен в Финляндии, но при этом завязан на инфраструктуру в Германии, что, вероятно, служит маскировкой реального местонахождения операторов.

По оценке специалистов, ModStealer распространяется по RaaS-модели (Ransomware-as-a-Service). В этом случае разработчики создают готовый набор инструментов и продают его клиентам, которые могут использовать его для атак, не обладая глубокими техническими знаниями. Такая схема в последние годы стала популярной среди преступных группировок, особенно при распространении инфостилеров.

По словам Mosyle, обнаружение ModStealer подчёркивает уязвимость классических антивирусных решений, которые не способны реагировать на такие угрозы. Для защиты в подобных случаях необходимы постоянный мониторинг, анализ поведения программ и повышение осведомлённости пользователей о новых методах атак.