12 Сен 2025

Новый вирус ModStealer крадет криптовалюту, обходя антивирусы

Обнаружен новый вредоносный софт "ModStealer", нацеленный на криптокошельки и остающийся незамеченным большинством антивирусных программ.

Активен на системах macOS, Windows и Linux около месяца до обнаружения.
Маскируется под фальшивые объявления о найме разработчиков, используя методы социальной инженерии.
Направлен на кражу конфиденциальных данных: файлов с учетными данными, деталей конфигурации и сертификатов.
Использует сильно запутанный JavaScript файл с NodeJS для обхода традиционных средств безопасности.

Детали операции

Устанавливает постоянное присутствие на macOS с помощью инструмента launchctl от Apple, работая в фоне как LaunchAgent.
Данные отправляются на сервер в Финляндии, но связаны с немецкой инфраструктурой для сокрытия местоположения оператора.
Нацелен на 56 различных расширений браузеров для кошельков, включая Safari, для извлечения приватных ключей.
Способен захватывать данные из буфера обмена, делать скриншоты и выполнять удаленный код для полного контроля над устройством.

Это открытие произошло на фоне других нарушений безопасности в криптосекторе, таких как недавняя атака на цепочку поставок NPM, направленная на перехват транзакций в сетях Ethereum (ETH) и Solana (SOL).

Атакующие похитили около $1,000, что является незначительной суммой по сравнению с более крупными кражами.

Исследователи Mosyle предполагают, что ModStealer может быть частью операции "Malware-as-a-Service" (MaaS), указывая на необходимость использования защит, основанных на поведении, наряду с сигнатурными методами защиты.