Mac-användare är måltavlan med nyupptäckt Mac skadlig kod som syftar till att stjäla innehållet i cryptocurrency plånböcker.
Dubbade CookieMiner av forskare på grund av sin förmåga för att stjäla webbläsar-cookies i samband med cryptocurrency utbyte och plånbok webbplatser som besöks av offret, skadlig kod har upptäckts av Palo Alto Networks.
Förutom att stjäla och handel innehållet i cryptocurrency plånböcker, CookieMiner växter också ett cryptojacker på den infekterade OSX maskinen, gör det möjligt för angripare utifrån att min hemlighet för ytterligare digital valuta. I detta exempel, det är Koto, en mindre känd cryptocurrency som erbjuder användare anonymitet. Det är huvudsakligen används i Japan.
Det är fortfarande okänt hur den nyligen upptäckt skadlig kod får tillgång till system, men när det, CookieMiner undersöker cookies i webbläsaren med länkar till cryptocurrency utbyte och webbplatser som referens blockchain. Utbyte riktade inkluderar Binance, Coinbase, Poloniex, Bittrex, Bitstamp, och MyEtherWallet.
Med hjälp av ett Shellscript, det stjäl Google Chrome och Apple Safari cookies från offrets maskin, överföra dem till en mapp på en server. Genom att göra detta, det kan extrahera den önskade inloggningsuppgifter och cookies krävs för att få det att se ut som om den nya inloggningen försök kommer från en maskin som tidigare använts av den offer — därför att förhindra det från att titta misstänkt.
“Vad man vill göra i kombination med referenser som är det som skördas är uppträda som den användaren från sitt eget system,” Alex Hinchliffe, threat intelligence analyst på Palo Alto Networks Enhet 42 forskning division berättade ZDNet. “Så att de använder cookies för att försöka komma förbi den första inloggningen utan misstanke.”
SE: 17 tips för att skydda Windows-datorer och Mac-datorer från ransomware (gratis PDF)
Det är inte bara offret Mac som är måltavla för CookieMiner — om offret har använt iTunes för att synkronisera sin Mac med sin iPhone, malware kan också få tillgång till sms-meddelanden. Detta ger potentiellt angriparna att stjäla logga in koder och andra meddelanden som de kan utnyttja för att kringgå två-faktor autentisering av användare har ansökt om att deras cryptocurrency konton.
När angriparna har tillgång till plånböcker, de har alla samma privilegier som användaren som de kan använda för att stjäla innehållet i plånboken. Det är också möjligt att angripare kan utnyttja systemet, handla med stora summor cryptocurrency i ett försök att stärka värderingar för sina egna syften.
“Om motståndaren får tillgång till någons konto på börsen, de kan köpa och sälja cryptocurrency. Att köpa och sälja en hel del kan ändra priset av cryptocurrency, i vilket fall de kan använda det för att vinna, säger Hinchliffe.
Attacken är inte över efter att motståndarna gjort med hjälp av plånböcker — de släpper en cryptocurrency miner som verkar vara mycket aktiva, rankade som bästa miner för Koto.
Filnamn i samband med plånboken hänvisning xmrig, något som normalt används av Monero gruvarbetare, men det är tänkt att angriparna har anställda med deras Koto system i syfte att skapa förvirring.
CookieMiner droppar även ett skript för uthållighet och fjärrstyrning av den infekterade maskinen, vilket gör dem att checka in på maskinen och skicka kommandon — även om allt detta för närvarande tycks vara relaterade till gruvdrift.
Man tror att cyber kriminella kampanj är fortfarande aktiv och forskare rekommenderar att cryptocurrency ägare bör hålla ett öga på sina säkerhetsinställningar och inställningar för digitala tillgångar för att förhindra att kompromissa och läckage.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
2018: s mest uppmärksammade cryptocurrency katastrofer och it-angrepp
Hur till hålla din cryptocurrency säker CNET
Detta cryptocurrency gruv-malware nu inaktiverar programvara för att hjälpa till att förbli oupptäckt
Varför cryptocurrency plånböcker är främsta mål för it-attacker TechRepublic
Mac OSX Trojan skadlig kod sprids via äventyras nedladdningar
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter