______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Малварь CookieMiner ворует криптовалюту у пользователей Mac и оставляет после себя майнер

Эксперты Palo Alto Networks рассказали о малвари CookieMiner, ориентированной на пользователей macOS. По мнению специалистов, новый вредонос основан на другой малвари для Mac, OSX.DarthMiner, найденной в декабре прошлого года.

Как распространяется новая угроза, пока неясно, но для организации удаленного доступа CookieMiner использует бэкдор EmPyre, как и его предшественник. Также известно, что проникнув в систему, CookieMiner проверяет куки браузеров на предмет связи с известными криптовалютными биржами и сайтами, имеющими слово «blockchain» в имени домена (Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet). После вредонос задействует шелл скрипты и похищает куки из Chrome и Safari, загружая их на удаленный сервер (46.226.108[.]171:8000).

Но, несмотря на название, одной только кражей куки CookieMiner не ограничивается. Также вредонос скачивает Python-скрипт (harmlesslittlecode.py), при помощи которого извлекает сохраненные в браузере Chrome учетные данные и информацию о банковских картах.

Также CookieMiner сообщает на управляющий сервер обо всех путях к файлам, связанным с криптовалютными кошельками, чтобы позже иметь возможность похитить эти файлы (как правило, речь идет о приватных ключах от кошельков). Хуже того, если у пользователя установлен  iTunes, и тот используется для синхронизации Mac с iPhone, вредонос попытается добраться до резервных копий текстовых сообщений (SMSFILE), что может позволить злоумышленникам обойти двухфакторную аутентификацию, похитив одноразовые коды.

Однако операторы малвари не только похищают средства пользователей и перехватывают контроль над чужими аккаунтами на крупных биржах. Также CookieMiner устанавливает на зараженную машину скрытого майнера, который будет добывать пока еще малоизвестную анонимную криптовалюту Koto.

Считается, что киберпреступная кампания все еще активна, и исследователи рекомендуют владельцам криптовалюты следить за своими настройками безопасности и цифровыми активами, чтобы предотвратить взлом и утечку данных.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх