Обнаруженное вредоносное ПО для Mac предназначено для кражи файлов cookie браузера для криптовалютных бирж

K

Kelvin

Модератор
12 Ноя 2018
4,086
55
48
Исследователи в области безопасности утверждают, что недавно обнаруженное вредоносное ПО для Mac предназначено для кражи файлов cookie браузера для криптовалютных бирж.

Код основан на «OSX.DarthMiner», раскрытом специалистами Palo Alto Networks в конце 2018 года. Теперь ее подразделению удалось обнаружить новое вредоносное ПО для кражи средств с криптовалютных кошельков.

До сих пор неизвестно, как недавно обнаруженный вирус получает доступ к системам, но, обнаружив, CookieMiner проверяет файлы cookie браузера со ссылками на биржи криптовалют и веб-сайты, которые ссылаются на блокчейн. Целевые биржи включают Binance, Coinbase, Poloniex, Bittrex, Bitstamp и MyEtherWallet.

Используя Shellscript, вирус крадет cookie-файлы браузера Google Chrome и Apple Safari с компьютера жертвы, загружая их в папку на удаленном сервере. Делая это, он может извлечь необходимые учетные данные для входа в систему и файлы cookie, необходимые для замаскировать свою попытку входа в систему под вход с компьютера, ранее использовавшегося жертвой, что позволяет ему не выглядеть подозрительным.

CookieMiner использует не только Mac жертвы - если жертва использовала iTunes для синхронизации своего Mac с iPhone, вредоносная программа также может получить доступ к текстовым сообщениям. Это потенциально позволяет злоумышленникам украсть коды входа и другие сообщения, которыми они могут злоупотреблять, чтобы обойти любую двухфакторную аутентификацию, которую пользователи применяли к своим учетным записям криптовалюты.

Атака не заканчивается на опустошении криптокошельков. "CookieMiner" - установливает скрытое программное обеспечение для добычи монет, которое потребляет системные ресурсы Mac. Приложение явно предназначено для майнинга "Koto", японской криптовалюты, ориентированной на конфиденциальность.

Имена файлов, ссылаются на xmrig, что обычно используется майнерами Monero, но считается, что злоумышленники использовали это в своей схеме Кото, чтобы создать путаницу.

CookieMiner также удаляет скрипт для персистентности и удаленного управления зараженной машиной, что позволяет им регистрироваться на машине и отправлять команды - хотя все это в настоящее время, по-видимому, связано с майнингом.

Считается, что киберпреступная кампания все еще активна, и исследователи рекомендуют владельцам криптовалюты следить за своими настройками безопасности и цифровыми активами, чтобы предотвратить взлом и утечку данных.