Malware CookieMiner ataca usuários de Mac para roubar carteiras de criptomoedas

Usuários de Mac estão sendo alvo de um malware recém-descoberto, que tem como objetivo roubar o conteúdo das carteiras de criptomoedas.

Apelidado de CookieMiner pelos pesquisadores por causa de sua capacidade de roubar cookies de navegador associados a trocas de criptomoedas e sites de serviço de carteira visitados pela vítima, o malware foi descoberto pela Palo Alto Networks.

Além de roubar e negociar o conteúdo das carteiras de criptomoedas, o CookieMiner também instala um criptojacker na máquina OSX infectada, permitindo que os invasores  usem secretamente moedas digitais adicionais . Neste caso, é o Koto, uma criptomoeda menos conhecida que oferece anonimato aos usuários. É usado principalmente no Japão.

Ainda é desconhecido como o malware recém-detectado ganha acesso aos sistemas, mas uma vez lá, o CookieMiner examina os cookies do navegador com links para trocas de criptomoedas e sites que fazem referência a blockchain . As trocas segmentadas incluem Binance, Coinbase, Poloniex, Bittrex, Bitstamp e MyEtherWallet.

Veja TambémCryptopia é novamente Hackeada e perde mais US$180 mil em ETH

Usando um Shellscript, ele rouba os cookies do navegador Google Chrome e Apple Safari da máquina da vítima, fazendo o upload deles para uma pasta em um servidor remoto. Ao fazer isso, ele pode extrair as credenciais de login necessárias e os cookies necessários para parecer que a nova tentativa de login é proveniente de uma máquina usada anteriormente pela vítima – evitando, assim, que ela pareça suspeita.

“O que ele quer fazer em combinação com as credenciais colhidas é imitar esse usuário de seu próprio sistema”, disse Alex Hinchliffe, analista de inteligência de ameaças da Unidade 42 de pesquisa da Palo Alto Networks, “Então, eles usam os cookies para tentar passar pelo login inicial sem suspeitar.”

Não é apenas o Mac da vítima que é alvo do CookieMiner – se a vítima usou o iTunes para sincronizar seu Mac com seu iPhone, o malware também pode acessar mensagens de texto. Isso potencialmente permite que os invasores roubem códigos de login e outras mensagens que possam usar para ignorar qualquer autenticação de dois fatores que os usuários tenham aplicado em suas contas de criptomoeda.

Uma vez que os atacantes tenham acesso às carteiras, eles têm todos os mesmos privilégios que o usuário, que eles podem usar para roubar o conteúdo da carteira. Também é possível que os atacantes pudessem bancar o sistema, negociando grandes quantidades de criptomoedas em um esforço para aumentar as avaliações para seus próprios fins.

“Se o adversário conseguir acesso à conta de alguém na bolsa, ele poderá comprar e vender criptomoeda. Comprar e vender muito pode mudar o preço da moeda criptografada, caso em que ela pode ser usada para lucrar”, disse Hinchliffe.

O ataque não acaba depois que os adversários terminam de usar as carteiras – eles descartam um minerador de criptomoeda que parece ser altamente ativo, sendo considerado o maior minerador da Koto.

Nomes de arquivo associados à referência de carteira xmrig, algo geralmente usado pelos mineiros de Monero, mas acredita-se que os invasores tenham empregado isso com seu esquema Koto para gerar confusão.

O CookieMiner também descarta um script para persistência e controle remoto da máquina infectada, permitindo que eles façam o check-in na máquina e enviem comandos – embora tudo isso pareça estar relacionado à mineração.

Acredita-se que a campanha do criminoso cibernético ainda esteja ativa e os pesquisadores recomendam que os proprietários de criptomoeda mantenham um olho em suas configurações de segurança e ativos digitais para evitar o comprometimento e o vazamento.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.