資安公司 Mosyle 近日揭露了一種名為 ModStealer 的新型惡意軟體,該惡意軟體正針對 macOS、Windows 和 Linux 系統的加密貨幣用戶,嚴重威脅用戶的數位錢包和訪問憑證。
(前情提要:安全公司警告:Perplexity AI 瀏覽器 Comet 恐被隱藏指令操控,洩露隱私資料)
(背景補充:你的TikTok Shop還安全嗎?AI+假App+釣魚頁,新型詐騙「ClickTok」正鎖定你的加密錢包)
專注於 Apple 設備安全的資安公司 Mosyle 近日揭露了一種名為 ModStealer 的新型惡意軟體,該惡意軟體正針對 macOS、Windows 和 Linux 系統的加密貨幣用戶,嚴重威脅用戶的數位錢包和訪問憑證。
據 Mosyle 表示,ModStealer 自首次出現在 VirusTotal 線上檢測平台後,近一個月未被任何主要防毒引擎檢測到,具備高度隱秘的特性,對用戶的資產安全構成了極大威脅。
ModStealer 的工作方式與攻擊目的
ModStealer 是一款跨平台的資訊竊取惡意軟體,專為竊取敏感數據而設計。其主要透過偽裝成招聘廣告的惡意連結分發,特別針對 Web3 開發者和加密貨幣用戶。該惡意軟體使用高度混淆的 JavaScript 檔案(以 NodeJS 編寫),成功繞過基於特徵碼的防毒檢測防線,使其在系統中運行時幾乎無跡可尋。
一旦用戶不慎下載並安裝惡意套件,ModStealer 便會嵌入系統,作為背景代理運行。在 macOS 系統中,它會濫用 Apple 的 launchctl 工具,將自身註冊為 LaunchAgent,以實現長期潛伏。該惡意軟體具備多種竊取功能,包括:1)剪貼簿擷取:竊取用戶複製的敏感資訊,如錢包地址或密碼。2)螢幕擷取:記錄用戶螢幕內容,獲取操作細節。3)遠端程式碼執行:允許攻擊者在受感染設備上執行任意指令,幾乎能完全控制設備。
ModStealer 的主要攻擊目標是加密貨幣錢包,特別是瀏覽器擴充功能的錢包,例如 Safari 和基於 Chromium 的瀏覽器。Mosyle 研究人員發現,該惡意軟體內含預載程式碼,針對 56 種不同的瀏覽器錢包擴充功能,專注竊取私鑰、憑證檔案、證書及系統配置資訊。
Mosyle 指出,儲存被竊數據的伺服器位於芬蘭,但可能透過德國的基礎設施進行路由,以掩蓋攻擊者的真實位置。此外,ModStealer 被認為是「惡意軟體即服務」(MaaS)的一部分,意味著其開發者將惡意套件出售給缺乏技術能力的聯盟成員,以進一步擴大其傳播範圍。這種商業模式使得 ModStealer 的散布更具威脅性,尤其在 2025 年資訊竊取惡意軟體已激增 28% 的背景下。
如何防範 ModStealer 惡意軟體
為有效防範 ModStealer 等類似威脅,資安專家提出以下實用建議,幫助用戶保護加密貨幣資產和個人數據:
第一,驗證招聘廣告的合法性:區塊鏈資安公司 Hacken 的技術負責人 Stephen Ajayi 建議,開發者在接收招聘任務或下載檔案前,應仔細驗證招聘者和相關網域的真實性。要求任務透過公開儲存庫分享,並在不含錢包或敏感數據的虛擬機中執行。
第二,分隔開發與錢包環境:Ajayi 強調,應嚴格分離開發環境(dev box)與錢包環境(wallet box),避免在同一設備上同時進行開發和錢包操作,以降低風險。
第三,使用硬體錢包:使用硬體錢包進行交易,並在設備顯示器上確認交易地址,至少核對地址的前後六個字符,以確保安全。
第四,專用瀏覽器或設備:為錢包活動設置專用的瀏覽器設定檔或獨立設備,僅與可信的錢包擴充功能互動,減少被惡意程式入侵的機會。
第五,增強帳戶保護:將種子短語離線儲存,啟用多因素認證(MFA),並在可能的情況下使用 FIDO2 通行密鑰,提升帳戶安全性。
第六,強化端點安全:Mosyle 強調,僅靠基於特徵碼的防毒軟體不足以應對 ModStealer 的隱秘攻擊。用戶應採用行為監控和持續檢測的資安工具,並保持對新興威脅的警覺。
📍相關報導📍
以太坊基金會發布未來10年藍圖:解鎖ETH百萬TPS、打造量子安全防線、協議精實三升級
