4 Minuten
Neue plattformübergreifende Stealer-Malware zielt auf Browser-Wallets und Entwicklerumgebungen
Eine heimliche neue Malware-Familie namens ModStealer wurde von Sicherheitsforschern entdeckt. Sie kann weit verbreitete Antiviren-Engines umgehen und Daten aus browserbasierten Krypto-Wallets unter Windows, macOS und Linux absaugen. Die Entdeckung, die vom Endpoint-Sicherheitsunternehmen Mosyle offengelegt und von 9to5Mac berichtet wurde, macht auf eine erneute Supply-Chain- und Social-Engineering-Bedrohung für Kryptowährungsnutzer und Entwickler aufmerksam.
Wie sich ModStealer verbreitet
Die Analyse von Mosyle legt nahe, dass der Angriffsvektor mit gefälschten Stellenanzeigen von Recruitern beginnt, die gezielt Entwickler ansprechen. Der Köder ist bewusst gewählt: Entwickler haben häufig Node.js-Laufzeiten und zugehörige Werkzeuge installiert, was sie als Ziel für eine Nutzlast attraktiv macht, die das JavaScript-Ökosystem ausnutzt. Der ModStealer-Installer ist so verschleiert, dass signaturbasierte Antivirenlösungen ihn nur schwer erkennen; Berichten zufolge blieb er mehrere Wochen nach der Verbreitung von mehreren großen Engines unentdeckt.
Was die Malware macht
Nach der Ausführung führt ModStealer eine Reihe von Aufklärungs- und Exfiltrationsschritten durch, die auf das Krypto-Ökosystem zugeschnitten sind. Er durchsucht Systeme nach Browser-Wallet-Erweiterungen und sucht nach privaten Schlüsseln, Seed-Phrasen, Exchange-API-Schlüsseln und anderen Zugangsdaten. Außerdem sammelt er Systempasswörter und digitale Zertifikate, bevor die gestohlenen Daten an entfernte Command-and-Control-(C2)-Server gesendet werden. Das plattformübergreifende Design der Malware und die „Null-Erkennungs“-Ausführungskette machen sie zu einer besonders gefährlichen Bedrohung für Nutzer, die Software-Wallets oder Browser-Erweiterungen zur Verwaltung von Kryptowährungen verwenden.
Auf macOS-Geräten versucht ModStealer, Persistenz zu etablieren, indem er sich als Hintergrund-Helper-Programm registriert, das bei jedem Systemstart ausgeführt wird. Infizierte Maschinen können eine verdeckte Datei namens ".sysupdater.dat" enthalten und Verbindungen zu verdächtigen Remote-Servern aufweisen — Indikatoren, die Mosyle in seiner Offenlegung hervorgehoben hat.
Weiterreichende Auswirkungen auf die Krypto-Sicherheit
Shān Zhang, CISO beim Blockchain-Sicherheitsunternehmen Slowmist, sagte gegenüber Decrypt, dass ModStealer mehr als nur individuellen Diebstahl darstelle: Die massenhafte Extraktion von Daten aus Browser-Extension-Wallets könnte groß angelegte On-Chain-Exploits ermöglichen und das Vertrauen in dezentrale Anwendungen untergraben. Angreifer mit Zugriff auf private Schlüssel oder Seed-Phrasen können Wallets sofort leeren oder umfassendere Supply-Chain-Angriffe orchestrieren, die mehrere Nutzer und Dienste kompromittieren.
Diese Warnung steht im Zusammenhang mit jüngsten Alarmmeldungen anderer Sicherheitsteams. Ledger-CTO Charles Guillemet schlug Alarm, nachdem ein NPM-Entwicklerkonto kompromittiert wurde, um bösartige Pakete zu verbreiten, die während Transaktionen heimlich Wallet-Adressen ersetzen können. ReversingLabs berichtete außerdem, dass einige Open-Source-Pakete in Kampagnen verwendet wurden, bei denen Ethereum-Smart-Contracts eingesetzt wurden, um Malware zu verteilen — eine ausgeklügelte Taktik, die die Grenzen zwischen On-Chain- und Off-Chain-Angriffspfaden verwischt.
Wer ist gefährdet?
Alle, die browserbasierte Wallets, JavaScript-Paketmanager oder Entwicklerumgebungen nutzen, sind erhöhtem Risiko ausgesetzt. Software-Wallets und schlüsselbasierte Erweiterungen sind besonders anfällig, weil schon eine erfolgreiche Codeausführung oder ein kompromittiertes Paket sensible Geheimnisse offenlegen kann. Auch Exchanges und Verwahrplattformen sind gefährdet, wenn API-Schlüssel abgegriffen werden.
Abschwächung und Empfehlungen
Sicherheitsteams und einzelne Krypto-Nutzer sollten die folgenden Vorsichtsmaßnahmen ergreifen:
- Überprüfen Sie installierte Browser-Erweiterungen und entfernen Sie unbekannte oder unnötige Wallet-Add-ons.
- Vermeiden Sie die Installation von Software über unverlangte Recruiter-Links oder unbestätigte NPM-Pakete.
- Halten Sie Endpoint-Schutzlösungen aktuell und aktivieren Sie verhaltensbasierte Überwachung, nicht nur signaturbasierte Antivirenprogramme.
- Lagern Sie größere Bestände in Hardware-Wallets oder Cold Storage aus und beschränken Sie die Verwendung von Seed-Phrasen auf nicht vernetzte Geräte.
- Überwachen Sie Indikatoren für eine Kompromittierung, wie unerwartete Dateien (z. B. ".sysupdater.dat") oder ausgehende Verbindungen zu verdächtigen C2-Domänen.
Die Offenlegung von Mosyle unterstreicht die anhaltenden Risiken in der Krypto-Supply-Chain: Angreifer kombinieren Social Engineering, verschleierten Code und plattformübergreifende Persistenz, um Entwickler-Tools und Browser-Wallets anzugreifen. Nutzer und Organisationen sollten davon ausgehen, dass jede Codeausführung in einer Software-Wallet-Umgebung zu einem direkten Vermögensverlust führen kann, und mehrschichtige Abwehrmaßnahmen einführen, um die Angriffsfläche zu verringern und die Erkennung von Vorfällen zu verbessern.
Quelle: decrypt
Kommentare