恶意软件即服务兴起：ModStealer揭示非技术人员如何参与网络犯罪

近日，网络安全公司 Mosyle 发现了一种名为 ModStealer 的新型跨平台恶意软件。自近一个月前在 VirusTotal 上首次出现以来，该恶意软件成功避开了主流杀毒平台的检测。ModStealer 被设计用于窃取敏感数据，包括加密货币钱包凭证和私钥，并能够绕过基于签名的传统检测方法。其目标范围广泛，涵盖 56 款浏览器钱包扩展程序，包括 Safari，并可在 macOS、Windows 和 Linux 系统中运行。

据 Mosyle 分析，ModStealer 主要通过恶意招聘广告传播，开发者是其重点攻击对象。该恶意软件使用高度混淆的 JavaScript 代码编写，利用 NodeJS 技术隐藏其活动痕迹，使其对传统反病毒工具不可见。安装后，ModStealer 会借助 macOS 中的 Apple launchctl 工具实现持久化，并将自身嵌入到 LaunchAgent 中，从而悄无声息地监视系统活动，同时将窃取的敏感数据传输至位于芬兰的远程服务器。该服务器与德国的基础设施相连，可能用于掩盖攻击者的真实位置。

此外，ModStealer 还具备剪贴板监控和屏幕截图功能，其中最令人担忧的是远程代码执行功能，这使得攻击者能够完全控制受感染的系统。研究人员指出，ModStealer 的隐蔽性和跨平台特性使其尤为危险，因为它可以规避传统防御机制，并在系统中长期潜伏而不被发现。

Mosyle 认为，ModStealer 很可能采用“恶意软件即服务”（MaaS）模式运营，即技术娴熟的网络犯罪开发者将现成的恶意软件包出售给技术水平较低的关联方。近年来，这种商业模式在信息窃取工具的传播中愈发流行。根据统计，2025 年信息窃取恶意软件的增长率达到了 28%，并已成为 Mac 平台恶意软件的主要威胁。

针对这一发现，Mosyle 呼吁组织和个人超越传统的基于签名的安全解决方案。该公司建议采用持续监控和基于行为的检测系统，同时提高对新兴威胁的认知水平，以应对不断演变的网络风险。安全专业人员需保持警惕，尤其是在处理可疑电子邮件附件或访问未经验证的网站时，因为这些是此类恶意软件的常见传播途径。