Clicky

Nuevo malware de Mac utiliza las cookies para robar carteras de criptomonedas

CookieMiner

CookieMiner está orientado a la minería "Koto"

Los usuarios de Mac deben tener cuidado con una pieza de malware recién descubierta que roba las cookies y credenciales de su navegador web en un intento de retirar fondos de sus cuentas de intercambio de criptomonedas.

Denominado CookieMiner debido a su capacidad de robar cookies relacionadas con el intercambio de criptomonedas, el malware ha sido diseñado específicamente para usuarios de Mac y se cree que se basa en DarthMiner, otro malware de Mac que se detectó en diciembre del año pasado.

Descubierto por el equipo de investigación de seguridad Unit 42 de Palo Alto Networks, CookieMiner también instala de forma encubierta el software de extracción de monedas en las máquinas Mac infectadas para extraer secretamente una criptomoneda adicional al consumir los recursos del sistema de la Mac objetivo.

En el caso de CookieMiner, el software aparentemente está orientado a la minería "Koto", una criptomoneda poco conocida y orientada a la privacidad que se usa principalmente en Japón.

Sin embargo, la capacidad más interesante del nuevo malware de Mac es robar:

• Las cookies de los navegadores Google Chrome y Apple Safari que se asocian con populares intercambios de criptomonedas y los sitios web de servicios de billetera.
• Los nombres de usuario, las contraseñas y la información de la tarjeta de crédito que se guardan en el navegador web Chrome.
• Criptomoneda con billetera de datos y claves.
• Los mensajes de texto de las víctimas del iPhone almacenados en las copias de seguridad de iTunes.

Al hablar de los intercambios de criptomonedas y los servicios de cartera, se encontró a CookieMiner apuntando a Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet y cualquier sitio web con "blockchain" en su dominio y utilizando cookies para rastrear temporalmente a sus usuarios.

librería de cookies

Al aprovechar la combinación de credenciales de inicio de sesión, cookies web y datos SMS robados, es posible que un atacante incluso omita la autenticación de dos factores para intercambiar sitios y robar criptomonedas de las cuentas y billeteras de la víctima.

"Si solo son robados y utilizados el nombre de usuario y la contraseña por un mal actor, el sitio web puede emitir una alerta o solicitar una autenticación adicional para un nuevo inicio de sesión", explicaron los investigadores en su blog publicado el jueves.

"Sin embargo, si también se proporciona una cookie de autenticación junto con el nombre de usuario y la contraseña, el sitio web puede creer que la sesión está asociada con un host del sistema previamente autenticado y no emitir una alerta ni solicitar métodos de autenticación adicionales".

Cabe señalar que los investigadores aún no han encontrado ninguna evidencia de que los atacantes hayan retirado fondos de la billetera o cuenta de cualquier usuario, pero están especulando sobre el comportamiento del malware.

¿Qué más hace?

CookieMiner también utiliza la puerta trasera EmPyre para el control posterior a la explotación, lo que permite a los atacantes enviar comandos a las computadoras Mac infectadas para el control remoto.

EmPyre es un agente de explotación posterior de Python que verifica si se está ejecutando en la máquina de la víctima el firewall de la aplicación Little Snitch y si encuentra uno, se detendrá y se cerrará. El agente también se puede configurar para descargar archivos adicionales.

tarjetas de crédito en el navegador

Aunque en primer lugar no está claro cómo se envía el malware CookieMiner a las víctimas, se cree que los usuarios son engañados para que descarguen software contaminado en sus máquinas, lo que entrega el malware.

Palo Alto Networks ya ha contactado con intercambios de criptomonedas y servicios de billetera, junto con Apple y Google, y reportó el problema.

Dado que los investigadores creen que la campaña CookieMiner aún está activa, la mejor manera de evitar ser víctima de tales ataques de malware es evitar guardar las credenciales o información de tarjeta de crédito en los navegadores web y, por no mencionar, evitar la descarga de aplicaciones de terceros.

También se debe considerar borrar las cookies cuando se visiten las cuentas bancarias o financieras, y "vigilar las configuraciones de seguridad y activos digitales para evitar riesgos y fugas", aconsejaron los investigadores.

Jesus_Caceres