Un malware scoperto di recente chiamato ModStealer sta prendendo di mira gli utenti crypto su sistemi macOS, Windows e Linux, mettendo a rischio i wallet e le credenziali di accesso.

L'azienda di sicurezza Mosyle, specializzata in prodotti Apple, ha scoperto il malware, affermando che è rimasto completamente inosservato dai principali motori antivirus per quasi un mese dopo essere stato caricato su VirusTotal, una piattaforma online che analizza i file per rilevare contenuti dannosi, secondo quanto riportato da 9to5mac.

Mosyle ha dichiarato che ModStealer è progettato per estrarre dati, con un codice pre-loaded che ruba chiavi private, certificati, file di credenziali ed estensioni wallet basate su browser. I ricercatori di sicurezza hanno individuato una logica di targeting per diversi wallet, comprese le estensioni su Safari e sui browser basati su Chromium.

L'azienda di sicurezza ha affermato che il malware persiste su macOS abusando del sistema per registrarsi come agente in background. Il team ha dichiarato che il server è ospitato in Finlandia, ma ritiene che l'infrastruttura sia instradata attraverso la Germania per mascherare l'origine degli operatori.

Azienda di sicurezza mette in guardia dai falsi annunci di lavoro

Secondo quanto riferito, il malware viene distribuito tramite annunci di lavoro falsi, una tattica sempre più utilizzata per colpire gli sviluppatori e i costruttori Web3.

Una volta che gli utenti installano il pacchetto dannoso, ModStealer si insedia nel sistema e opera in background. Cattura i dati dalla clipboard, acquisisce screenshot ed esegue comandi remoti.

Stephen Ajayi, responsabile tecnico degli audit DApp e AI presso la società di sicurezza blockchain Hacken, ha dichiarato a Cointelegraph che le campagne di reclutamento dannose che utilizzano “test di valutazione” fraudolenti come meccanismo di diffusione del malware stanno diventando sempre più comuni. Ha avvertito gli sviluppatori di prendere precauzioni extra quando viene loro chiesto di scaricare file o completare valutazioni.

“Gli sviluppatori dovrebbero verificare la legittimità dei reclutatori e dei domini associati”, ha spiegato Ajayi a Cointelegraph. “Richiedete che gli incarichi vengano condivisi tramite repository pubblici e aprite qualsiasi attività esclusivamente in una macchina virtuale usa e getta senza wallet, chiavi SSH o password manager".

Sottolineando l'importanza di compartimentare le risorse sensibili, Ajayi ha consigliato ai team di mantenere una rigorosa separazione tra i loro ambienti di sviluppo e l'archiviazione dei wallet.

“È essenziale una chiara separazione tra l'ambiente di sviluppo ‘dev box’ e l'ambiente wallet ‘wallet box’”, ha dichiarato a Cointelegraph.

Il responsabile della sicurezza di Hacken condivide misure pratiche per gli utenti

Ajayi ha anche sottolineato l'importanza di una corretta gestione del wallet e del rafforzamento degli endpoint per difendersi da minacce come Modstealer.

“Utilizzate hardware wallet e confermate sempre gli indirizzi delle transazioni sul display del dispositivo, verificando almeno i primi e gli ultimi sei caratteri prima di approvarle”, ha dichiarato a Cointelegraph.

Ajayi ha consigliato agli utenti di mantenere un profilo browser dedicato e bloccato o un dispositivo separato esclusivamente per le attività del wallet, interagendo solo con le estensioni wallet affidabili.

Per proteggere l'account, ha consigliato di archiviare offline le seed phrase, di utilizzare l'autenticazione a più fattori e, quando possibile, di utilizzare le passkey FIDO2.