Yeni ModStealer kötü amaçlı yazılımı, işletim sistemleri genelinde kripto cüzdanlarını hedef alıyor

Yeni keşfedilen ModStealer adlı kötü amaçlı yazılım, macOS, Windows ve Linux sistemlerindeki kripto kullanıcılarını hedef alarak cüzdanlar ve erişim kimlik bilgileri için risk oluşturuyor.

Apple odaklı güvenlik firması Mosyle, kötü amaçlı yazılımı analiz etti ve 9to5mac’in bildirdiğine göre, ModStealer’ın VirusTotal’a yüklendikten sonra neredeyse bir ay boyunca büyük antivirüs motorları tarafından tamamen tespit edilmediğini açıkladı. VirusTotal, dosyaları kötü amaçlı içerik açısından analiz eden çevrimiçi bir platformdur.

Mosyle, ModStealer’ın önceden yüklenmiş kodlarla özel anahtarları, sertifikaları, kimlik bilgisi dosyalarını ve tarayıcı tabanlı cüzdan uzantılarını çalmak üzere tasarlandığını belirtti. Güvenlik araştırmacıları, Safari ve Chromium tabanlı tarayıcılardaki uzantılar dahil olmak üzere farklı cüzdanları hedef alan mantıklar tespit etti.

Güvenlik firması, kötü amaçlı yazılımın macOS üzerinde arka plan ajanı olarak kayıt yaptırmak için sistemi kötüye kullanarak kalıcı hale geldiğini açıkladı. Ekip, sunucunun Finlandiya’da barındırıldığını ancak altyapının operatörlerin kaynağını gizlemek için Almanya üzerinden yönlendirildiğine inandığını belirtti.

Güvenlik firması sahte iş ilanları konusunda uyarıyor

Kötü amaçlı yazılımın, Web3 geliştiricileri ve yapımcılarını hedef almak için giderek artan şekilde kullanılan sahte iş ilanları yoluyla dağıtıldığı bildiriliyor.

Kullanıcılar kötü amaçlı paketi yükledikten sonra, ModStealer sisteme yerleşiyor ve arka planda çalışıyor. Panodan veri yakalıyor, ekran görüntüleri alıyor ve uzaktan komutlar yürütüyor.

Blockchain güvenlik firması Hacken’de DApp ve Yapay Zeka denetimi teknik lideri Stephen Ajayi, Cointelegraph’a verdiği demeçte, sahte “test görevleri” kullanılarak kötü amaçlı yazılım dağıtımının giderek yaygınlaştığını söyledi. Geliştiricilere dosya indirmeleri veya değerlendirme yapmaları istendiğinde ekstra tedbir almaları konusunda uyarıda bulundu.

Ajayi, “Geliştiriciler, işe alımcıların ve ilgili alan adlarının meşruiyetini doğrulamalıdır,” dedi. “Görevlerin kamuya açık depo aracılığıyla paylaşılmasını talep edin ve herhangi bir görevi yalnızca cüzdanlar, SSH anahtarları veya parola yöneticileri olmayan tek kullanımlık sanal makinelerde açın.”

Hassas varlıkların bölümlendirilmesinin önemini vurgulayan Ajayi, ekiplerin geliştirme ortamları ile cüzdan depolama arasında kesin bir ayrım yapmaları gerektiğini tavsiye etti.

“Geliştirme ortamı ‘dev box’ ile cüzdan ortamı ‘wallet box’ arasında net bir ayrım şarttır,” dedi.

İlgili:

Hacken güvenlik liderinden kullanıcılara pratik öneriler

Ajayi ayrıca, ModStealer gibi tehditlere karşı korunmak için temel cüzdan hijyeni ve uç nokta sertleştirmenin önemini vurguladı.

“Donanım cüzdanları kullanın ve işlem adreslerini cihaz ekranında mutlaka doğrulayın; onaylamadan önce en azından ilk ve son altı karakteri kontrol edin,” dedi.

Ajayi, kullanıcıların cüzdan etkinlikleri için özel, kilitlenmiş bir tarayıcı profili veya ayrı bir cihaz kullanmalarını ve yalnızca güvenilir cüzdan uzantılarıyla etkileşimde bulunmalarını önerdi.

Hesap koruması için, tohum ifadelerinin çevrimdışı saklanmasını, çok faktörlü kimlik doğrulamayı ve mümkün olduğunda FIDO2 şifre anahtarlarının kullanılmasını tavsiye etti.

Dergi: