Os cibercriminosos estão usando um novo malware direcionado a Macs e ao navegador Google Chrome, projetado para roubar todas as informações necessárias para invadir as exchanges de criptomoedas e as carteiras digitais de suas vítimas.
Esse malware, um desdobramento do OSX.DarthMiner, tem uma ampla gama de habilidades, relatou a Unit 42 da Palo Alto. Essas habilidades incluem a capacidade de roubar cookies de navegador associados a câmbios de moeda e serviços de carteira digital, senhas, nomes de usuário e informações de cartão de crédito salvos em Mensagens de texto do Chrome e iPhone dos backups do iTunes no Mac conectado.
“Aproveitando a combinação de credenciais de login, cookies da web e dados SMS roubados, com base em ataques anteriores como esse, acreditamos que os agentes mal-intencionados poderiam ignorar a autenticação multifator para esses sites”, disse o relatório da Unit 42, acrescentando grande parte disso. é realizado abusando dos recursos legítimos de extração e descriptografia incorporados no Chrome pelo projeto Google Chromium.
Se todas essas partes se unirem, o hacker deverá ter a capacidade de acessar a exchange e a carteira do alvo, permitindo que eles acessem totalmente cada uma delas.
O malware então segue em frente e instala software cryptomining no dispositivo da vítima. O malware de mineração, estranhamente, parece uma versão da XMRig que vai minerar o Monero, mas na verdade é um minerador que cria criptomoeda Koto, centrada no Japão e ainda instala o backdoor EmPyre para manter a persistência.
“O ataque CookieMiner começa com um script de shell direcionado ao MacOS. Ele copia os cookies do navegador Safari para uma pasta e faz o upload para um servidor remoto (46.226.108 [.] 171: 8000). O servidor hospeda o serviço “curldrop” (https: // github [.] Com / kennell / curldrop), que permite aos usuários fazer upload de arquivos com curl “, diz o relatório.
As informações roubadas são carregadas após o comando para o servidor de comando e controle.
Traduzido e adaptado de : scmagazine.com
