安全機(jī)構(gòu)Mosyle最新發(fā)布的報(bào)告揭示，一款名為“ModStealer”的跨平臺(tái)惡意軟件正悄然擴(kuò)散。該程序自首次現(xiàn)身惡意代碼監(jiān)測(cè)平臺(tái)以來(lái)已持續(xù)活躍近一個(gè)月，但截至目前仍未被多數(shù)主流殺毒軟件納入檢測(cè)范圍，引發(fā)業(yè)界對(duì)新型網(wǎng)絡(luò)威脅的高度關(guān)注。

這款惡意軟件展現(xiàn)出罕見(jiàn)的跨平臺(tái)特性，能夠同時(shí)攻擊macOS、Windows和Linux三大主流操作系統(tǒng)。其核心攻擊目標(biāo)直指用戶數(shù)字資產(chǎn)，通過(guò)內(nèi)置的56種瀏覽器擴(kuò)展竊取模塊，可精準(zhǔn)提取加密貨幣錢包私鑰、各類賬號(hào)憑證、系統(tǒng)配置文件及數(shù)字證書(shū)等敏感信息。研究人員特別指出，該程序?qū)afari等主流瀏覽器的錢包擴(kuò)展具有針對(duì)性攻擊能力。

在傳播方式上，攻擊者采用社會(huì)工程學(xué)手段，將惡意代碼偽裝成技術(shù)類職位的招聘附件進(jìn)行傳播。當(dāng)用戶下載運(yùn)行后，基于NodeJS框架構(gòu)建的高度混淆Java文件會(huì)立即啟動(dòng)，其代碼結(jié)構(gòu)經(jīng)過(guò)特殊處理，可有效規(guī)避傳統(tǒng)基于特征碼匹配的檢測(cè)機(jī)制。這種技術(shù)特性使其成為近年來(lái)少見(jiàn)的能同時(shí)威脅三大操作系統(tǒng)的惡意程序。

追蹤發(fā)現(xiàn)，被竊數(shù)據(jù)通過(guò)加密通道傳輸至位于北歐的服務(wù)器集群，其中主要接收節(jié)點(diǎn)部署在芬蘭。進(jìn)一步溯源顯示，相關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施與德國(guó)存在技術(shù)關(guān)聯(lián)，這種跨國(guó)部署策略顯著增加了溯源難度。安全專家分析認(rèn)為，攻擊者通過(guò)多層代理架構(gòu)刻意隱藏真實(shí)位置，試圖規(guī)避國(guó)際執(zhí)法機(jī)構(gòu)的追蹤。

Mosyle安全團(tuán)隊(duì)根據(jù)其運(yùn)作模式判斷，ModStealer符合“惡意軟件即服務(wù)”（MaaS）的典型特征。開(kāi)發(fā)者可能將核心程序模塊化封裝，通過(guò)地下市場(chǎng)向不具備技術(shù)能力的犯罪團(tuán)伙提供定制化攻擊服務(wù)。這種商業(yè)模式極大降低了網(wǎng)絡(luò)攻擊的技術(shù)門檻，使得更多非專業(yè)人員能夠?qū)嵤┚艿木W(wǎng)絡(luò)盜竊活動(dòng)。