Tu antivirus no sirve: un nuevo virus busca tomar el control total de Mac, Windows y Linux
ModStealer deja a su paso cuentas vaciadas y sistemas comprometidos.
Los especialistas de Mosyle descubrieron un nuevo software malicioso llamado ModStealer. El programa resultó totalmente indetectable para las soluciones antivirus y fue subido a VirusTotal por primera vez hace casi un mes, sin provocar ninguna detección por parte de los sistemas de protección. El peligro se agrava porque la herramienta maliciosa es capaz de infectar ordenadores con macOS, Windows y Linux.
La propagación se realiza mediante anuncios falsos en nombre de reclutadores que buscan desarrolladores. A la víctima se le ofrece seguir un enlace, donde le espera un código JavaScript fuertemente ofuscado, escrito en NodeJS. Este enfoque hace que el programa sea invisible para las soluciones que funcionan mediante análisis por firmas.
El objetivo de ModStealer es el robo de datos, y los desarrolladores integraron inicialmente funciones para extraer información de carteras de criptomonedas, archivos con credenciales, parámetros de configuración y certificados. En el código se encontró una preconfiguración para atacar 56 extensiones de billeteras de navegador, incluido Safari, lo que permite robar claves privadas y otra información confidencial.
Además del robo de datos, ModStealer puede interceptar el contenido del portapapeles, tomar capturas de pantalla y ejecutar código arbitrario en el sistema infectado. Esta última capacidad en la práctica abre a los atacantes el camino al control total del dispositivo. En los ordenadores Mac el programa se instala en el sistema mediante la herramienta estándar launchctl: se registra como LaunchAgent y después puede monitorizar la actividad del usuario sin ser detectado, enviando los datos robados a un servidor remoto. Mosyle pudo establecer que el servidor está ubicado en Finlandia, pero está ligado a una infraestructura en Alemania, lo que probablemente sirve para enmascarar la ubicación real de los operadores.
Según los especialistas, ModStealer se distribuye según el modelo RaaS (ransomware como servicio). En este caso, los desarrolladores crean un conjunto de herramientas listo para usar y lo venden a clientes que pueden emplearlo para ataques sin poseer conocimientos técnicos profundos. Este esquema se ha vuelto popular en los últimos años entre grupos criminales, especialmente en la difusión de programas de robo de información.
Según Mosyle, el hallazgo de ModStealer subraya la vulnerabilidad de las soluciones antivirus clásicas, que no son capaces de responder a este tipo de amenazas. Para protegerse en estos casos son necesarios el monitoreo constante, el análisis del comportamiento de los programas y aumentar la concienciación de los usuarios sobre los nuevos métodos de ataque.
Las huellas digitales son tu debilidad, y los hackers lo saben