Puntos clave de la noticia:
-
Mosyle descubrió ModStealer, un malware multiplataforma casi indetectable que apunta a wallets de criptomonedas y datos sensibles.
-
El virus se propaga con anuncios falsos de reclutamiento y usa JavaScript ofuscado para evadir defensas, logrando control casi total de los equipos.
-
En macOS abusa de launchctl para persistir y enviar datos a un servidor en Finlandia, vinculado a infraestructura alemana que oculta a sus operadores.
Mosyle, compañía dedicada a la gestión y seguridad de dispositivos Apple, identificó un nuevo malware denominado ModStealer que afecta a macOS, Windows y Linux.
El software malicioso permaneció invisible para los principales motores de antivirus durante casi un mes y tiene como meta el robo de información, con un foco particular en wallets de criptomonedas, credenciales, configuraciones y certificados. La investigación reveló que ModStealer incluye código diseñado para atacar 56 extensiones de navegador vinculadas a wallets, entre ellas Safari, con capacidad para extraer claves privadas y datos sensibles de los usuarios.
¿Cómo Funciona ModStealer?
El vector de propagación detectado por Mosyle son anuncios falsos de reclutamiento dirigidos a desarrolladores. A través de ellos, los atacantes distribuyen un archivo JavaScript fuertemente ofuscado que logra evadir defensas basadas en firmas. Una vez instalado, el malware ofrece a los atacantes funciones de captura de portapapeles y pantallas, además de ejecución remota de código. Estas capacidades otorgan control casi total sobre los dispositivos comprometidos.
En sistemas macOS, el programa asegura su permanencia abusando de la herramienta launchctl para ejecutarse como LaunchAgent. Esto le permite operar de manera discreta y enviar información robada a un servidor ubicado en Finlandia, aunque vinculado con infraestructura en Alemania, lo que apunta a una maniobra de ocultamiento sobre la ubicación real de los responsables.
Malware-as-a-Service
Mosyle sostiene que ModStealer encaja en el modelo de Malware-as-a-Service, donde desarrolladores crean paquetes listos para usar que se venden a afiliados con poca experiencia técnica. Este esquema se ha vuelto cada vez más común y ha impulsado la proliferación de infostealers. De hecho, informes recientes señalan un incremento del 28% en este tipo de malware en Mac durante 2025, consolidándolo como los más frecuentes.
El descubrimiento de Mosyle coincide con una serie de ataques dirigidos al ecosistema cripto. Días atrás, el director de tecnología de Ledger, Charles Guillemet, advirtió a los usuarios que detuvieran sus transacciones on-chain tras detectarse un ataque en la cadena de suministro de Node Package Manager.
Los atacantes intentaron usar correos falsos de soporte para robar credenciales de desarrolladores y publicar paquetes maliciosos capaces de desviar transacciones en Ethereum, Solana y otras redes. El impacto fue limitado y se estiman pérdidas cercanas a $1.000, pero la magnitud potencial evidenció la gravedad de la amenaza. Equipos como Uniswap, MetaMask, OKX Wallet, Sui, Aave, Trezor y Lido confirmaron que no resultaron afectados.
El hallazgo de ModStealer y los incidentes recientes son prueba de que hay una enorme necesidad de adoptar medidas de seguridad más allá de las defensas tradicionales. El Monitoreo continuo, el análisis de comportamiento y el uso de herramientas de custodia robustas son mecanismos esenciales para reducir cualquier riesgo.
