El nuevo malware de Mac apunta a las cookies para robarlas de las billeteras de criptomonedas

malware de minería de criptomonedas mac

Los usuarios de Mac deben tener cuidado con una pieza de malware recién descubierta que roba las cookies y las credenciales de su navegador web en un intento de retirar fondos de sus cuentas de intercambio de criptomonedas.

Doblado CookieMiner Debido a su capacidad para robar cookies relacionadas con los intercambios de criptomonedas, el malware ha sido diseñado específicamente para atacar a los usuarios de Mac y se cree que se basa en DarthMiner, otro malware para Mac que se detectó en diciembre del año pasado.

Descubierto por el equipo de investigación de seguridad de la Unidad 42 de Palo Alto Networks, CookieMiner también instala de forma encubierta software de minería de monedas en las máquinas Mac infectadas para extraer en secreto criptomonedas adicionales al consumir los recursos del sistema de la Mac objetivo.

En el caso de CookieMiner, el software aparentemente está orientado a la minería de «Koto», una criptomoneda menos conocida y orientada a la privacidad que se usa principalmente en Japón.

Sin embargo, las capacidades más interesantes del nuevo malware para Mac es robar:

  • Las cookies del navegador Google Chrome y Apple Safari están asociadas con sitios web populares de intercambio de criptomonedas y servicios de billetera.
  • Nombres de usuario, contraseñas e información de tarjetas de crédito guardadas en el navegador web Chrome.
  • Datos y claves de la billetera de criptomonedas.
  • Los mensajes de texto de iPhone de las víctimas almacenados en las copias de seguridad de iTunes.

Cuando se habló de los intercambios de criptomonedas específicos y los servicios de billetera, se encontró que CookieMiner se dirigía a Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet y cualquier sitio web que tuviera «blockchain» en su dominio y usara cookies para rastrear a sus usuarios temporalmente.

malware de minería de criptomonedas mac

Al aprovechar la combinación de credenciales de inicio de sesión robadas, cookies web y datos de SMS, un atacante podría incluso eludir la autenticación de dos factores para los sitios de intercambio y robar criptomonedas de las cuentas y billeteras de la víctima.

«Si solo el nombre de usuario y la contraseña son robados y utilizados por un mal actor, el sitio web puede emitir una alerta o solicitar una autenticación adicional para un nuevo inicio de sesión», explicaron los investigadores en su blog publicado el jueves.

«Sin embargo, si también se proporciona una cookie de autenticación junto con el nombre de usuario y la contraseña, el sitio web podría creer que la sesión está asociada con un host del sistema previamente autenticado y no emitir una alerta ni solicitar métodos de autenticación adicionales».

Cabe señalar que los investigadores aún no han encontrado ninguna evidencia de que los atacantes hayan retirado fondos con éxito de la billetera o cuenta de ningún usuario, pero especulan sobre la base del comportamiento del malware.

¿Y lo que es más? CookieMiner también utiliza la puerta trasera de EmPyre para el control posterior a la explotación, lo que permite a los atacantes enviar comandos a las computadoras Mac infectadas para el control remoto.

EmPyre es un agente de post-explotación de Python que verifica si el firewall de la aplicación Little Snitch se está ejecutando en la máquina de la víctima y, si encuentra uno, se detendrá y saldrá. El agente también se puede configurar para descargar archivos adicionales.

Aunque no está claro cómo se envía el malware CookieMiner a las víctimas en primer lugar, se cree que se engaña a los usuarios para que descarguen software contaminado en sus máquinas que entrega el malware.

Palo Alto Networks ya se ha puesto en contacto con intercambios de criptomonedas específicos y servicios de billetera, junto con Apple y Google, e informó el problema.

Dado que los investigadores creen que la campaña CookieMiner aún está activa, la mejor manera de evitar ser víctima de este tipo de ataques de malware es evitar guardar sus credenciales o la información de su tarjeta de crédito en sus navegadores web y, sin mencionar, evitar descargar aplicaciones de terceros. plataformas

También debe considerar borrar sus cookies cuando visite las cuentas bancarias o financieras, y «vigile sus configuraciones de seguridad y activos digitales para evitar compromisos y filtraciones», aconsejaron los investigadores.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática