martedì 5 febbraio 2019

Nuovo malware per MAC ruba credenziali bancarie e dei portafogli di criptovaluta


CookieMiner è un nuovo malware capace di rubare e esfiltrare dai browser web i cookie relativi ai wallet dei servizi online e ai siti web di scambio di criptovaluta, così come password, messaggi di testo e credenziali dellle carte di credito. Questo malware colpisce soltanto i dispositivi MAC e condivide parti di codice con esemplari di malware già conosciuti: OSX.DarthMiner e OSX.LamePyre. Tutti questi malware usano la backdoor EmPyre a fini di controllo da remoto e persistenza e per inviare comandi arbitrari ai MAC infetti dopo il successo dell'exploit. 

Dato che ormai la quasi totalità degli exchange di criptovaluta e dei servizi di wallet online usano metodi di autenticazione a più fattori, CookieMiner tenta di aggirare questi processi di autenticazione collezionando una complessa combinazione di credenziali di login, messaggi di testo e cookie web. 

CookieMiner consente ai suoi sviluppatori di mettere le mani su una grande quantità di dati dalle macchine compromesse: tutto inizia con uno script shell che avvia la raccolta dei cookie dal browser e li carica su un server remoto che esegue il servizio curldrop.


L'esfiltrazione dei cookie con cURL. Fonte: bleepingcomputer.com

I ricercatori della Unit42 di Palo Alto Networks affermano che i cookie preferiti da questo malware sono quelli associati ai cambi di criptovalute tra i quali Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet e qualsiasi sito web che includa la parola "blockchain" nel proprio nome dominio. Le informazioni relative alle carte di credito e le credenziali di login vengono sottratte dai dati salvati localmente sia in Apple Safari che in Google Chrome, i due browser più utilizzati sui sistemi operativi Mac. 

Oltre a ciò, CookieMiner scansiona le informazioni relative ai wallet e i messaggi di testo dai backup dell'iPhone, che vengono estratti e copiati in un "interestingfiles.txt" che gli attaccanti recuperano successivamente usando i comandi inviati tramite il loro server di comando e controllo. 

CookieMiner estrae la criptovaluta Koto
CookieMiner usa la macchina infetta anche per il mining della criptovaluta anonima Koto (basata su Zcash), con l'aiuto del coinminer xmrig2: questo è palesemente un tentativo di massimizzare il potenziale di profitto dallo stesso attacco, ma anche di ricavare comunque qualcosa anche in caso di infezione su macchine che non presentano alcuno degli obiettivi su menzionati di questo malware. 

Il mining di Koto. Fonte: bleepingcomputer.com

Alcune capacità di CookieMiner:
  • rubare i cookie di Google Chrome e Apple Safari;
  • rubare username e password salvate in Chrome;
  • rubare le credenziali delle carte di credito salvate in Chrome;
  • rubare i messaggi di testo  in caso vi sia un backup di un iPhone sulla macchina infetta;
  • rubare chiavi e dati dei wallett di criptovaluta;
  • ottenere il pieno controllo sul dispositivo attaccato usando la backdoor EmPyre;
  • eseguire il mining di criptovaluta sulla macchina infetta. 

Informazioni sul server di Comando e Controllo
Url: hxxps://ptpb[.]pw/OAZG
IP:  46.226.108[.]171

Nessun commento:

Posta un commento