ModStealer cross-platform malware undetected by AV tools targeting developers
8 months ago
- #cybersecurity
- #infostealer
- #malware
- Mosyle发现了一种名为ModStealer的新型信息窃取恶意软件,该软件近一个月内未被主流杀毒引擎检测到。
- ModStealer具有跨平台特性,针对macOS、Windows和Linux系统,通过针对开发者的恶意招聘广告进行传播。
- 该恶意软件使用经过深度混淆的NodeJS编写的JavaScript文件,可规避基于签名的防御机制。
- ModStealer专注于窃取数据,包括加密货币钱包、登录凭证、配置详情和证书,针对56种浏览器钱包扩展程序。
- 它还具有剪贴板捕获、屏幕截图和远程代码执行能力,使攻击者能对受感染设备实施高度控制。
- 在macOS系统中,该恶意软件通过滥用苹果的launchctl工具实现持久化,将自身嵌入为LaunchAgent。
- ModStealer将窃取的数据外泄至远程服务器,该服务器可能位于芬兰,但与德国的基础设施存在关联。
- Mosyle认为ModStealer符合恶意软件即服务(MaaS)模式,开发者将恶意软件出售给技术能力有限的附属攻击者。
- 信息窃取类恶意软件呈上升趋势,Jamf报告显示今年此类攻击数量增加了28%。
- Mosyle警告称基于签名的防护已不足够,强调需要持续监控和基于行为的防御措施。