Eksperci z Palo Alto wykryli złośliwe oprogramowanie dla systemu macOS, które kradnie pliki cookies z przeglądarek oraz poświadczenia logowania związane z giełdami i serwisami pośredniczącymi w obsłudze portfela. Wirus OSX.DarthMiner szczególnie sobie upodobał zapisane hasła w Chrome i Safari, ale i od wiadomości SMS z iPhonów nie trzyma się z daleka. Eksperci uważają, że wykorzystanie kombinacji kradzieży danych logowania, ciasteczek internetowych i wiadomości tekstowych może umożliwić przestępcom ominięcie wieloskładnikowego uwierzytelnienia na stronach giełd kryptowalut.

Ciasteczka internetowe są powszechnie wykorzystywane do uwierzytelniania. Kiedy użytkownik loguje się na stronie internetowej, pliki cookie są przechowywane, by serwer WWW poznał status logowania danej osoby. Jeśli pliki te zostaną skradzione, osoba atakująca może zaimportować ciasteczka do swojej przeglądarki i zalogować się na w imieniu ofiary. Czasami takie dane nie są wystarczające do podszycia się pod użytkownika. Witryna może wyświetlić dodatkowy alert lub poprosić o dodatkowe uwierzytelnienie albo też o dodatkową autoryzację, jeśli jest wymagana do operacji na kryptowalutach.

Jeśli plik cookie zawiera dane uwierzytelniające wraz z loginem i hasłem, to web-aplikacja uzna takiego użytkownika za wiarygodnego. Przestępcy będą mogli dysponować środkami zgromadzonymi na koncie ofiary.

CookieMiner dla macOS
Kod odpowiedzialny za kradzież ciasteczek i wysyłanie ich na adres IP 46.226.108.171 przez port 8000.

CookieMiner potrafi wykradać:

  • Pliki cookie z przeglądarki Google Chrome i Safari.
  • Zapisane nazwy użytkownika i hasła w Chrome.
  • Zapisane dane karty kredytowej w Chrome.
  • Wiadomości tekstowe z iPhona, jeśli zostały zarchiwizowane na komputerze za pomocą iTunes.
  • Dane i klucze portfela z kryptowalutą.

Niestety CookieMiner ma też funkcjonalność backdoora. Wykorzystuje narzędzie open-source napisane w Pythonie. Jest ono dostępne dla każdego badacza i przestępcy w serwisie GitHub.

Drugą dodatkową funkcjonalnością szkodnika jest instalowanie na komputerze ofiary złośliwego oprogramowania do kopania kryptowaluty o nazwie Koto — popularnej w Japonii.

Użytkownicy systemów macOS powinni pamiętać, że ich system chociaż bezpieczny to nie jest odporny na działanie szkodliwego oprogramowania. Wielokrotnie ostrzegaliśmy już, że macOS nie jest superbezpieczny i że coraz więcej spyware znajduje się w oficjalnym sklepie Apple z aplikacjami. MacOS jest podatny na różnego rodzaju ataki wykorzystujące luki w zabezpieczeniach.

Sklep z programami dla komputerów i urządzeń Apple nie jest jeszczehoneypotem dla złośliwego oprogramowania, jakim już jest Google Play, ale im wcześniej sobie to uświadomimy, tym lepiej. Giełdy kryptowalut zazywczają posiadają dodatkowe zabezpieczenia w postaci autoryzacji, czyli potwierdzenia wykonania np. wymiany kryptowaluty na rzeczywiste pieniądze lub przelewu do innego portfela. Lepiej dmuchać na zimne i nie dawać przestępcom sposobności do przejęcia konta internetowego.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz