安全机构Mosyle最新发布的报告揭示,一款名为“ModStealer”的跨平台恶意软件正悄然扩散。该程序自首次现身恶意代码监测平台以来已持续活跃近一个月,但截至目前仍未被多数主流杀毒软件纳入检测范围,引发业界对新型网络威胁的高度关注。
这款恶意软件展现出罕见的跨平台特性,能够同时攻击macOS、Windows和Linux三大主流操作系统。其核心攻击目标直指用户数字资产,通过内置的56种浏览器扩展窃取模块,可精准提取加密货币钱包私钥、各类账号凭证、系统配置文件及数字证书等敏感信息。研究人员特别指出,该程序对Safari等主流浏览器的钱包扩展具有针对性攻击能力。
在传播方式上,攻击者采用社会工程学手段,将恶意代码伪装成技术类职位的招聘附件进行传播。当用户下载运行后,基于NodeJS框架构建的高度混淆Java文件会立即启动,其代码结构经过特殊处理,可有效规避传统基于特征码匹配的检测机制。这种技术特性使其成为近年来少见的能同时威胁三大操作系统的恶意程序。
追踪发现,被窃数据通过加密通道传输至位于北欧的服务器集群,其中主要接收节点部署在芬兰。进一步溯源显示,相关网络基础设施与德国存在技术关联,这种跨国部署策略显著增加了溯源难度。安全专家分析认为,攻击者通过多层代理架构刻意隐藏真实位置,试图规避国际执法机构的追踪。
Mosyle安全团队根据其运作模式判断,ModStealer符合“恶意软件即服务”(MaaS)的典型特征。开发者可能将核心程序模块化封装,通过地下市场向不具备技术能力的犯罪团伙提供定制化攻击服务。这种商业模式极大降低了网络攻击的技术门槛,使得更多非专业人员能够实施精密的网络盗窃活动。
