Cookieminer đã phát hiện, phần mềm độc hại mới cho mac %%

Nhóm nghiên cứu tại Đơn vị 42 tại Palo Alto Networks đã phát hiện ra một phần mềm độc hại Mac mới. Được thiết kế để đánh cắp cookie và thông tin đăng nhập của trình duyệt, đây sẽ là một nỗ lực để rút tiền từ tài khoản trao đổi tiền điện tử.

CookieMiner: Phần mềm độc hại mới cho Mac

Được gọi là CookieMiner vì khả năng đánh cắp cookie liên quan đến trao đổi tiền điện tử, phần mềm độc hại đã được thiết kế đặc biệt để nhắm mục tiêu người dùng Mac. Các nhà nghiên cứu tin rằng nó dựa trên DarthMiner, một phần mềm độc hại Mac khác được phát hiện vào tháng 12 năm 2018.

Nguy hiểm thêm

CookieMiner cũng bí mật cài đặt phần mềm khai thác tiền xu, để có được máy Mac bị nhiễm để cung cấp thêm tiền điện tử. Trong trường hợp của CookieMiner, rõ ràng nó được thiết kế để khai thác " Koto ". Đây là một loại tiền điện tử ít được biết đến và hướng đến bảo mật, chủ yếu được sử dụng ở Nhật Bản.

Mặc dù vậy, khả năng thú vị nhất của phần mềm độc hại mới là đánh cắp:

• Cookie từ trình duyệt Chrome và Safari được liên kết với các dịch vụ web phổ biến nhất để trao đổi và ví tiền điện tử. Tên người dùng, mật khẩu và thông tin thẻ tín dụng được lưu trong trình duyệt Chrome. Dữ liệu và khóa của danh mục đầu tư tiền điện tử. Sao lưu bản sao SMS SMS của nạn nhân vào iTunes.

CookieMiner đã được tìm thấy để nhắm mục tiêu Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet và bất kỳ trang web nào có 'blockchain' trong miền và cũng sử dụng cookie để tạm thời theo dõi người dùng.

Làm thế nào bạn có được quyền truy cập

Sử dụng kết hợp các thông tin bị đánh cắp, cookie web và SMS, kẻ tấn công có thể bỏ qua các xác thực 2 bước.

Cũng cần lưu ý rằng vẫn chưa có bằng chứng cho thấy những kẻ tấn công đã đánh cắp thành công bất kỳ khoản tiền nào, nhưng chúng đang suy đoán dựa trên hành vi được quan sát.

Rủi ro và biện pháp phòng ngừa

Hơn nữa, CookieMiner cũng sử dụng cửa hậu EmPyre để kiểm soát sau khai thác, cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống Mac từ xa.

EmPyre là một tác nhân Python kiểm tra xem ứng dụng Little Snitch có hoạt động hay không, trong trường hợp đó nó dừng và thoát. Kẻ tấn công cũng có thể cấu hình tác nhân này để tải xuống các tệp bổ sung.

Mặc dù lộ trình lây nhiễm vẫn chưa rõ ràng, nhưng người ta tin rằng vector là phần mềm tải xuống đánh lừa người dùng.

Palo Alto Networks đã liên hệ với Google, Apple và các dịch vụ tiền điện tử mục tiêu để báo cáo vấn đề.

Khuyến nghị

Vì chiến dịch được cho là vẫn hoạt động, cách tốt nhất để ngăn chặn chiến dịch là tránh lưu thông tin xác thực hoặc thông tin thẻ tín dụng của bạn trong các ứng dụng web. Và tất nhiên, không tải xuống ứng dụng của bên thứ ba.

Ngoài ra, chúng tôi khuyên bạn nên xóa cookie khi bạn truy cập các dịch vụ tài chính hoặc ngân hàng và để mắt đến các cài đặt bảo mật của bạn. Thông qua tin tức Hacker Đơn vị 42 Phòng thí nghiệm MalwareBytes