Una cepa de malware recientemente descubierta llamada Modstealer tiene la capacidad de evitar el software antivirus y robar datos de las billeteras de criptomonedas en los sistemas operativos de Windows, Linux y MacOS. El malware fue revelado el jueves e inicialmente informado por 9to5macbasado en la información de la firma de seguridad Mosyle.
Malware de criptomoneda de ModStealer operado sin detectar durante casi un mes
Modstealer había estado operativo durante casi un mes antes de la detección, oculto a los motores antivirus prominentes durante este período. El malware se extiende a través de anuncios de reclutadores de trabajo engañosos que se dirigen específicamente a los desarrolladores de software. Mosyle indicó que este método de distribución asegura que el malware llega a las personas que probablemente tengan entornos Node.js instalados, lo que los convierte en objetivos principales para ataques relacionados con las criptomonedas.
El soporte multiplataforma permite una orientación generalizada
Shān Zhang, director de seguridad de la información de la firma de seguridad de Blockchain, SlowMist, declaró que Modstealer «evade la detección de las principales soluciones antivirus y plantea riesgos significativos para el ecosistema de activos digitales más amplios». Zhang señaló que «a diferencia de los robadores tradicionales, Modstealer se destaca por su soporte multiplataforma y su sigilosa cadena de ejecución de ‘detección cero'», lo que permite ataques en múltiples sistemas operativos simultáneamente.
Se dirige el sistema de escaneo integral de sistema activos criptográficos
Después de la ejecución, Modstealer inicia una exploración exhaustiva de sistemas infectados, buscando extensiones de billetera de criptomonedas basadas en el navegador, credenciales del sistema y certificados digitales. En los sistemas MacOS, el malware emplea un mecanismo de persistencia al disfrazarse de un programa de ayuda de fondo. Esta persistencia garantiza la ejecución automática al inicio del sistema, manteniendo la operación continua sin intervención o conciencia del usuario.
Cómo detectar posibles infecciones de ModStealer
Los usuarios pueden identificar posibles infecciones de Modstealer verificando estos indicadores:
- Archivo oculto llamado «.sysupdater.dat» en el sistema,
- Conexiones de red salientes con servidores sospechosos o desconocidos,
- Procesos de fondo inesperados que se ejecutan al inicio,
- Comportamiento inusual de extensión de la billetera de criptomonedas,
- Intentos de acceso no autorizados a certificados digitales.
Zhang explicó que «aunque son comunes en aislamiento, estos métodos de persistencia combinados con una fuerte ofuscación hacen que Modstealer sea resistente contra las herramientas de seguridad basadas en la firma».
Amenaza directa para usuarios y plataformas de criptomonedas
Zhang enfatizó el impacto potencial de Modstealer en los usuarios individuales y el ecosistema de criptomonedas más amplio. Para los usuarios individuales, «las claves privadas, las frases de semillas y las claves de API de Exchange pueden verse comprometidas, lo que resulta en una pérdida directa de activos». Para la industria de las criptomonedas, Zhang advirtió que «el robo masivo de los datos de la billetera de extensión del navegador podría desencadenar hazañas a gran escala en la cadena, erosionando la confianza y amplificando los riesgos de la cadena de suministro».
Cómo proteger las billeteras de criptomonedas de Modstealer
Los usuarios de criptomonedas pueden implementar estas medidas de protección:
- Use billeteras de hardware en lugar de extensiones de navegador para tenencias significativas,
- Habilitar la autenticación multifactor en todas las cuentas de criptomonedas,
- Actualice regularmente el software antivirus y habilite el escaneo en tiempo real,
- Evite hacer clic en anuncios sospechosos de reclutamiento de empleo,
- Monitorear procesos de inicio del sistema para aplicaciones no autorizadas,
- Frases de semillas de respaldo fuera de línea en ubicaciones físicas seguras,
- Use dispositivos separados para transacciones de criptomonedas cuando sea posible.
