Malware na macOS kradnie cookies, loginy i hasła związane z giełdami kryptowalut

1 lutego, 2019
CoinMiner macOS

Eksperci z Palo Alto wykryli złośliwe oprogramowanie dla systemu macOS, które kradnie pliki cookies z przeglądarek oraz poświadczenia logowania związane z giełdami i serwisami pośredniczącymi w obsłudze portfela. Wirus OSX.DarthMiner szczególnie sobie upodobał zapisane hasła w Chrome i Safari, ale i od wiadomości SMS z iPhonów nie trzyma się z daleka. Eksperci uważają, że wykorzystanie kombinacji kradzieży danych logowania, ciasteczek internetowych i wiadomości tekstowych może umożliwić przestępcom ominięcie wieloskładnikowego uwierzytelnienia na stronach giełd kryptowalut.

Ciasteczka internetowe są powszechnie wykorzystywane do uwierzytelniania. Kiedy użytkownik loguje się na stronie internetowej, pliki cookie są przechowywane, by serwer WWW poznał status logowania danej osoby. Jeśli pliki te zostaną skradzione, osoba atakująca może zaimportować ciasteczka do swojej przeglądarki i zalogować się na w imieniu ofiary. Czasami takie dane nie są wystarczające do podszycia się pod użytkownika. Witryna może wyświetlić dodatkowy alert lub poprosić o dodatkowe uwierzytelnienie albo też o dodatkową autoryzację, jeśli jest wymagana do operacji na kryptowalutach.

Jeśli plik cookie zawiera dane uwierzytelniające wraz z loginem i hasłem, to web-aplikacja uzna takiego użytkownika za wiarygodnego. Przestępcy będą mogli dysponować środkami zgromadzonymi na koncie ofiary.

CookieMiner dla macOS

CookieMiner potrafi wykradać:

  • Pliki cookie z przeglądarki Google Chrome i Safari.
  • Zapisane nazwy użytkownika i hasła w Chrome.
  • Zapisane dane karty kredytowej w Chrome.
  • Wiadomości tekstowe z iPhona, jeśli zostały zarchiwizowane na komputerze za pomocą iTunes.
  • Dane i klucze portfela z kryptowalutą.

Niestety CookieMiner ma też funkcjonalność backdoora. Wykorzystuje narzędzie open-source napisane w Pythonie. Jest ono dostępne dla każdego badacza i przestępcy w serwisie GitHub.

Drugą dodatkową funkcjonalnością szkodnika jest instalowanie na komputerze ofiary złośliwego oprogramowania do kopania kryptowaluty o nazwie Koto — popularnej w Japonii.

Użytkownicy systemów macOS powinni pamiętać, że ich system chociaż bezpieczny to nie jest odporny na działanie szkodliwego oprogramowania. Wielokrotnie ostrzegaliśmy już, że macOS nie jest superbezpieczny i że coraz więcej spyware znajduje się w oficjalnym sklepie Apple z aplikacjami. MacOS jest podatny na różnego rodzaju ataki wykorzystujące luki w zabezpieczeniach.

Sklep z programami dla komputerów i urządzeń Apple nie jest jeszczehoneypotem dla złośliwego oprogramowania, jakim już jest Google Play, ale im wcześniej sobie to uświadomimy, tym lepiej. Giełdy kryptowalut zazywczają posiadają dodatkowe zabezpieczenia w postaci autoryzacji, czyli potwierdzenia wykonania np. wymiany kryptowaluty na rzeczywiste pieniądze lub przelewu do innego portfela. Lepiej dmuchać na zimne i nie dawać przestępcom sposobności do przejęcia konta internetowego.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]