Um novo malware identificado como ModStealer está mirando usuários de criptomoedas em sistemas macOS, Windows e Linux, representando riscos para carteiras e credenciais de acesso.
A empresa de segurança focada na Apple, Mosyle, descobriu o malware, afirmando que ele permaneceu completamente indetectado pelos principais mecanismos de antivírus por quase um mês após ter sido carregado no VirusTotal, uma plataforma online que analisa arquivos para detectar conteúdo malicioso, informou o 9to5mac.
A Mosyle disse que o ModStealer foi projetado para extrair dados, com código pré-carregado para roubar chaves privadas, certificados, arquivos de credenciais e extensões de carteiras baseadas em navegador. Os pesquisadores de segurança encontraram lógica de direcionamento para diferentes carteiras, incluindo extensões no Safari e em navegadores baseados no Chromium.
A empresa de segurança afirmou que o malware persiste no macOS abusando do sistema para se registrar como um agente em segundo plano. A equipe disse que o servidor está hospedado na Finlândia, mas acredita que a infraestrutura é roteada pela Alemanha para mascarar a origem dos operadores.
Empresa de segurança alerta sobre falsos anúncios de emprego
O malware está sendo distribuído por meio de falsos anúncios de recrutamento, uma tática cada vez mais usada para mirar desenvolvedores e construtores da Web3.
Uma vez que os usuários instalam o pacote malicioso, o ModStealer se incorpora ao sistema e opera em segundo plano. Ele captura dados da área de transferência, faz capturas de tela e executa comandos remotos.
Stephen Ajayi, líder técnico de auditoria de DApp e IA na empresa de segurança blockchain Hacken, disse ao Cointelegraph que campanhas de recrutamento maliciosas usando “tarefas de teste” fraudulentas como mecanismo de entrega de malware estão se tornando cada vez mais comuns. Ele alertou os desenvolvedores a tomarem precauções extras quando solicitados a baixar arquivos ou concluir avaliações.
“Os desenvolvedores devem validar a legitimidade dos recrutadores e dos domínios associados”, disse Ajayi ao Cointelegraph. “Solicite que as tarefas sejam compartilhadas por repositórios públicos e abra qualquer tarefa exclusivamente em uma máquina virtual descartável, sem carteiras, chaves SSH ou gerenciadores de senhas.”
Enfatizando a importância de compartimentalizar ativos sensíveis, Ajayi aconselhou as equipes a manter uma separação rigorosa entre seus ambientes de desenvolvimento e o armazenamento de carteiras.
“Uma separação clara entre o ambiente de desenvolvimento ‘dev box’ e o ambiente de carteira ‘wallet box’ é essencial”, disse ele ao Cointelegraph.
Líder de segurança da Hacken compartilha etapas práticas para usuários
Ajayi também destacou a importância da higiene básica da carteira e do reforço dos endpoints para se defender de ameaças como o ModStealer.
“Use carteiras de hardware e sempre confirme os endereços das transações no visor do dispositivo, verificando pelo menos os seis primeiros e os seis últimos caracteres antes de aprovar”, disse ele ao Cointelegraph.
Ajayi recomendou que os usuários mantenham um perfil de navegador dedicado e bloqueado ou um dispositivo separado exclusivamente para a atividade de carteira, interagindo apenas com extensões de carteiras confiáveis.
Para proteção de contas, ele recomendou o armazenamento offline de frases-semente, autenticação multifator e o uso de chaves FIDO2 sempre que possível.