Эксперты Palo Alto Networks рассказали о малвари CookieMiner, ориентированной на пользователей macOS. По мнению специалистов, новый вредонос основан на другой малвари для Mac, OSX.DarthMiner, найденной в декабре прошлого года.
Как распространяется новая угроза, пока неясно, но для организации удаленного доступа CookieMiner использует бэкдор EmPyre, как и его предшественник. Также известно, что проникнув в систему, CookieMiner проверяет куки браузеров на предмет связи с известными криптовалютными биржами и сайтами, имеющими слово «blockchain» в имени домена (Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet). После вредонос задействует шелл скрипты и похищает куки из Chrome и Safari, загружая их на удаленный сервер (46.226.108[.]171:8000).
Но, несмотря на название, одной только кражей куки CookieMiner не ограничивается. Также вредонос скачивает Python-скрипт (harmlesslittlecode.py), при помощи которого извлекает сохраненные в браузере Chrome учетные данные и информацию о банковских картах.
Также CookieMiner сообщает на управляющий сервер обо всех путях к файлам, связанным с криптовалютными кошельками, чтобы позже иметь возможность похитить эти файлы (как правило, речь идет о приватных ключах от кошельков). Хуже того, если у пользователя установлен iTunes, и тот используется для синхронизации Mac с iPhone, вредонос попытается добраться до резервных копий текстовых сообщений (SMSFILE), что может позволить злоумышленникам обойти двухфакторную аутентификацию, похитив одноразовые коды.
Однако операторы малвари не только похищают средства пользователей и перехватывают контроль над чужими аккаунтами на крупных биржах. Также CookieMiner устанавливает на зараженную машину скрытого майнера, который будет добывать пока еще малоизвестную анонимную криптовалюту Koto.
(с)
Как распространяется новая угроза, пока неясно, но для организации удаленного доступа CookieMiner использует бэкдор EmPyre, как и его предшественник. Также известно, что проникнув в систему, CookieMiner проверяет куки браузеров на предмет связи с известными криптовалютными биржами и сайтами, имеющими слово «blockchain» в имени домена (Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet). После вредонос задействует шелл скрипты и похищает куки из Chrome и Safari, загружая их на удаленный сервер (46.226.108[.]171:8000).
Но, несмотря на название, одной только кражей куки CookieMiner не ограничивается. Также вредонос скачивает Python-скрипт (harmlesslittlecode.py), при помощи которого извлекает сохраненные в браузере Chrome учетные данные и информацию о банковских картах.
Также CookieMiner сообщает на управляющий сервер обо всех путях к файлам, связанным с криптовалютными кошельками, чтобы позже иметь возможность похитить эти файлы (как правило, речь идет о приватных ключах от кошельков). Хуже того, если у пользователя установлен iTunes, и тот используется для синхронизации Mac с iPhone, вредонос попытается добраться до резервных копий текстовых сообщений (SMSFILE), что может позволить злоумышленникам обойти двухфакторную аутентификацию, похитив одноразовые коды.
Однако операторы малвари не только похищают средства пользователей и перехватывают контроль над чужими аккаунтами на крупных биржах. Также CookieMiner устанавливает на зараженную машину скрытого майнера, который будет добывать пока еще малоизвестную анонимную криптовалюту Koto.
(с)