Investigadores Descubren Malware Indetectable que Drena Billeteras de Criptomonedas en Navegadores

Una nueva cepa de malware que puede evadir las verificaciones de antivirus y robar datos de billeteras cripto en sistemas Windows, Linux y macOS fue descubierta el jueves.

Denominado ModStealer, había permanecido sin ser detectado por los principales motores de antivirus durante casi un mes al momento de la divulgación, con su paquete siendo distribuido a través de anuncios falsos de reclutadores de trabajo dirigidos a desarrolladores.

La divulgación fue realizada por la firma de seguridad Mosyle, según un reporte inicial de 9to5Mac. Decrypt se ha puesto en contacto con Mosyle para obtener más información.

La distribución a través de anuncios falsos de reclutadores de trabajo fue una táctica intencional, según Mosyle, porque fue diseñado para alcanzar a desarrolladores que probablemente ya estuvieran usando o tuvieran entornos Node.js instalados.

ModStealer "evade la detección de las soluciones antivirus mainstream y representa riesgos significativos para el ecosistema más amplio de activos digitales", señaló a Decrypt Shān Zhang, director de seguridad de la información en la firma de seguridad blockchain Slowmist. "A diferencia de los ladrones tradicionales, ModStealer se destaca por su soporte multiplataforma y su cadena de ejecución sigilosa de 'detección cero'".

Una vez ejecutado, el malware escanea extensiones de billeteras cripto basadas en navegadores, credenciales del sistema y certificados digitales.

Luego "exfiltra los datos a servidores remotos C2", explicó Zhang. Un C2, o servidor de "Comando y Control", es un sistema centralizado utilizado por cibercriminales para gestionar y controlar dispositivos comprometidos en una red, actuando como el centro operativo para malware y ciberataques.

En hardware de Apple ejecutando macOS, el malware se configura a través de un "método de persistencia" para ejecutarse automáticamente cada vez que la computadora se inicia, disfrazándose como un programa auxiliar de fondo.

La configuración lo mantiene ejecutándose silenciosamente sin que el usuario se dé cuenta. Las señales de infección incluyen un archivo secreto llamado ".sysupdater.dat" y conexiones a un servidor sospechoso, según la divulgación.

"Aunque comunes de forma aislada, estos métodos de persistencia combinados con una fuerte ofuscación hacen que ModStealer sea resistente contra herramientas de seguridad basadas en firmas", agregó Zhang.

El descubrimiento de ModStealer llega después de una advertencia relacionada del CTO de Ledger, Charles Guillemet, quien divulgó el martes que atacantes habían comprometido una cuenta de desarrollador de NPM e intentaron propagar código malicioso que podría reemplazar silenciosamente direcciones de billeteras cripto durante transacciones, poniendo fondos en riesgo a través de múltiples blockchains.

Aunque el ataque fue detectado temprano y falló, Guillemet posteriormente señaló que los paquetes comprometidos habían sido conectados a Ethereum, Solana y otras cadenas.

"Si tus fondos están en una billetera de software o en un exchange, estás a una ejecución de código de perder todo". Guillemet tuiteó horas después de su advertencia inicial.

Cuando fue consultado sobre el posible impacto del nuevo malware, Zhang advirtió que ModStealer representa una "amenaza directa para usuarios y plataformas cripto".

Para los usuarios finales, "las claves privadas, frases semilla y claves API de exchanges pueden verse comprometidas, resultando en pérdida directa de activos", afirmó Zhang, agregando que para la industria cripto, "el robo masivo de datos de billeteras de extensiones de navegador podría desencadenar exploits on-chain a gran escala, erosionando la confianza y amplificando los riesgos de la cadena de suministro".