Cookieminer виявив, нове зловмисне програмне забезпечення для mac %%

Дослідницька група підрозділу 42 в Palo Alto Networks виявила нову шкідливу програму Mac, яка була розроблена для крадіжки файлів cookie браузера та облікових даних, і це була б спроба зняти кошти з рахунків обміну криптовалюти.

CookieMiner: нове зловмисне програмне забезпечення для Mac

Зателефонувавши CookieMiner за свою здатність красти файли cookie, пов’язані з обміном криптовалютами, шкідливе програмне забезпечення було розроблено спеціально для користувачів Mac, але дослідники вважають, що його базується на DarthMiner, іншому шкідливому ПЗ Mac, виявленому в грудні 2018 року.

Додаткові небезпеки

CookieMiner також таємно встановлює програмне забезпечення для видобутку монет, щоб заразити Macs для надання додаткових криптовалют. Що стосується CookieMiner, він, очевидно, призначений для видобутку " Koto ". Це менш відома криптовалюта, орієнтована на безпеку, в основному використовується в Японії.

Тим не менш, найцікавіші можливості нової шкідливої ​​програми - це красти:

• Файли cookie з браузерів Chrome і Safari, пов’язані з найпопулярнішими веб-сервісами для обміну та гаманцями криптовалют. Імена користувачів, паролі та дані кредитної картки, збережені в браузері Chrome. Дані та ключі портфелів криптовалют. Резервні копії SMS-повідомлення iPhone з потерпілого в iTunes.

Було встановлено, що CookieMiner орієнтується на Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet та будь-який веб-сайт із "blockchain" у домені, а також використовувати файли cookie для тимчасового відстеження своїх користувачів.

Як ви отримуєте доступ

Використовуючи поєднання вкрадених облікових даних, веб-файлів cookie та SMS, зловмисник зможе пропустити навіть двоступеневу автентифікацію.

Слід також зазначити, що досі немає доказів того, що зловмисники успішно вкрали будь-які кошти, але вони спекулюють на основі спостереженої поведінки.

Ризики та запобіжні заходи

Крім того, CookieMiner також використовує задню панель EmPyre для контролю після експлуатації, дозволяючи зловмисникам віддалено взяти під контроль систему Mac.

EmPyre - це агент Python, який перевіряє, чи активний додаток Little Snitch, і в цьому випадку він зупиняється та вимикається. Зловмисники також можуть налаштувати цього агента для завантаження додаткових файлів.

Хоча шлях зараження ще не зрозумілий, вважається, що вектор - це завантаження програмного забезпечення, яке обманює користувачів.

Palo Alto Networks вже зв’язався з Google, Apple та цільовими криптовалютами, щоб повідомити про проблему.

Рекомендації

Оскільки, як вважається, кампанія все ще є активною, найкращий спосіб запобігти їй - уникнути збереження своїх облікових даних або даних про кредитні картки у веб-додатках. І звичайно, не завантажуйте сторонні програми.

Крім того, ми рекомендуємо очистити файли cookie під час відвідування фінансових чи банківських служб та слідкувати за своїми налаштуваннями безпеки. Через модуль джерела новин Hacker 42, лабораторія MalwareBytes