Setelah peringatan 9to5mac Bulan lalu tentang malware Mac yang tidak terdeteksi tersembunyi di situs konverter PDF palsu, Mosyleseorang pemimpin dalam manajemen dan keamanan perangkat Apple, kini telah menemukan infostealer baru. Dijuluki ModStealer, malware tetap tidak terlihat oleh semua mesin antivirus utama sejak pertama kali muncul di Virustotal hampir sebulan yang lalu.
Dalam detail yang dibagikan secara eksklusif dengan 9to5macMosyle mengatakan ModStealer tidak hanya menargetkan sistem macOS, tetapi juga lintas platform dan dibangun khusus untuk satu hal: mencuri data.
Menurut analisis Mosyle, ModStealer sedang dikirimkan kepada para korban melalui iklan perekrut pekerjaan jahat yang menargetkan pengembang. Ini menggunakan file JavaScript yang sangat dikalahkan yang ditulis dengan nodeJs yang tetap benar-benar tidak terdeteksi oleh pertahanan berbasis tanda tangan. Dan yang ini juga tidak hanya menargetkan pengguna Mac; Lingkungan Windows dan Linux juga berisiko.
Tujuan utama malware adalah exfiltration data, dengan fokus khusus pada dompet cryptocurrency, file kredensial, detail konfigurasi, dan sertifikat. Mosyle menemukan kode yang telah dimuat sebelumnya menargetkan 56 ekstensi dompet browser yang berbeda, termasuk safari, yang dirancang untuk mengekstraksi kunci pribadi dan info akun sensitif.
Para peneliti perusahaan juga menemukan bahwa ModStealer mampu menangkap clipboard, penangkapan layar, dan eksekusi kode jarak jauh. Dua yang pertama buruk, tetapi yang terakhir dapat memberikan kendali hampir penuh kepada penyerang atas perangkat yang terinfeksi.
Apa yang membuat penemuan ini begitu mengkhawatirkan adalah stealth dengan mana ModStealer beroperasi.
Pada macOS, malware mencapai kegigihan atau kehadiran jangka panjang yang tidak terdeteksi pada Mac korban dengan menyalahgunakan alat LaunchCTL Apple sendiri, yang menanamkan dirinya sebagai launchent. Dari sana, secara diam -diam memantau aktivitas dan mengeluarkan informasi sensitif ke server jarak jauh. Peneliti Mosyle mengatakan server yang hosting data curian tampaknya berada di Finlandia tetapi terikat pada infrastruktur di Jerman, kemungkinan akan menutupi lokasi nyata operator.
Mosyle percaya bahwa ModStealer cocok dengan profil malware-as-a-service (MAAS). Di sinilah pengembang malware membuat dan menjual paket berbahaya kepada afiliasi – mereka dengan sedikit keterampilan teknis. Afiliasi mendapatkan malware yang sudah jadi dan dapat mengarahkannya ke apa pun yang mereka inginkan.
Model bisnis ini telah semakin populer di kalangan geng -geng penjahat dunia maya, terutama dalam mendistribusikan infostealer seperti ModStealer. Awal tahun ini, Jamf melaporkan lonjakan 28% dalam malware infostealer, menjadikannya tipe keluarga malware Mac terkemuka di tahun 2025.
“Untuk profesional keamanan, pengembang, dan pengguna akhir, ini berfungsi sebagai pengingat yang jelas bahwa perlindungan berbasis tanda tangan saja tidak cukup. Pemantauan berkelanjutan, pertahanan berbasis perilaku, dan kesadaran akan ancaman yang muncul sangat penting untuk tetap di depan musuh,” memperingatkan Mosyle.
Indikator kompromi:
- SHA256 Hash: 8195148D1F697539E206A3DB1018D3F2D6DAF61A207C71A93EC659697D219E84
- Nama file:. Sysupdater (.) Itu
- Alamat IP server C2: 95.217.121 (.) 184
FTC: Kami menggunakan penghasilan penghasilan tautan afiliasi otomatis. Lagi.
