{"id":219741,"date":"2025-09-12T13:42:00","date_gmt":"2025-09-12T13:42:00","guid":{"rendered":"https:\/\/cryptonews.com\/it\/?p=219741"},"modified":"2025-09-12T13:42:00","modified_gmt":"2025-09-12T13:42:00","slug":"nuovo-malware-sfrutta-falsi-annunci-di-lavoro-per-colpire-i-wallet-crypto","status":"publish","type":"post","link":"https:\/\/cryptonews.com\/it\/news\/nuovo-malware-sfrutta-falsi-annunci-di-lavoro-per-colpire-i-wallet-crypto\/","title":{"rendered":"Nuovo malware sfrutta falsi annunci di lavoro per colpire i wallet crypto"},"content":{"rendered":"

Un nuovo malware multipiattaforma, noto con il nome di ModStealer<\/strong>, sta sfuggendo ai sistemi antivirus e prende di mira i wallet crypto su Windows, macOS e Linux. Secondo i ricercatori della societ\u00e0 di sicurezza Mosyle<\/strong>, ModStealer \u00e8 riuscito a “passare inosservato”, infatti i principali motori antivirus non l’hanno intercettato da quando \u00e8 stato caricato per la prima volta su VirusTotal, quasi un mese fa.<\/p>

Il malware viene diffuso sfruttando falsi annunci di lavoro rivolti a sviluppatori, una tattica in crescita tra i cybercriminali.<\/p>

Come si diffonde il malware<\/h2><\/span>

Le vittime vengono indotte a eseguire un file JavaScript maligno<\/strong> sviluppato in NodeJS, il che consente al malware di bypassare le tradizionali protezioni basate su firme. A differenza dei classici info-stealer, ModStealer integra funzionalit\u00e0 avanzate progettate per garantire furtivit\u00e0 e scalabilit\u00e0. Il malware prende di mira 56 estensioni<\/strong> di wallet crypto basati su browser, comprese quelle per Safari, e pu\u00f2 estrarre chiavi private, credenziali, file di configurazione e certificati.<\/p>

Oltre a queste capacit\u00e0, ModStealer include strumenti per intercettare il contenuto della clipboard e catturare lo schermo, nonch\u00e9 funzionalit\u00e0 di esecuzione remota di codice, che offrono agli attaccanti un controllo quasi completo sui dispositivi compromessi.<\/p>

Su macOS, il malware utilizza lo strumento launchctl<\/code> di Apple per ottenere persistenza, inserendosi come LaunchAgent. Da l\u00ec monitora silenziosamente le attivit\u00e0 e invia i dati a un server remoto, ospitato in Finlandia ma instradato attraverso infrastrutture tedesche.<\/p>

\n

\u26a0\ufe0f\u00a0Fake paid ads

Scam ads are seemingly-real ads on Twitter and Google that advertise fake giveaways and airdrops. Their goal is to trick you into connecting your wallet and signing malicious transactions.

\ud83d\udeab\u00a0NEVER use links in paid ads or search results to access airdrops! pic.twitter.com\/MoFJbgp345<\/a><\/p>— Phantom (@phantom) January 29, 2024<\/a><\/blockquote>