Рекомендуем почитать:
Xakep #238. Забытый Android
- Содержание выпуска
- Подписка на «Хакер»
Эксперты Palo Alto Networks рассказали о малвари CookieMiner, ориентированной на пользователей macOS. По мнению специалистов, новый вредонос основан на другой малвари для Mac, OSX.DarthMiner, найденной в декабре прошлого года.
Как распространяется новая угроза, пока неясно, но для организации удаленного доступа CookieMiner использует бэкдор EmPyre, как и его предшественник. Также известно, что проникнув в систему, CookieMiner проверяет куки браузеров на предмет связи с известными криптовалютными биржами и сайтами, имеющими слово «blockchain» в имени домена (Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet). После вредонос задействует шелл скрипты и похищает куки из Chrome и Safari, загружая их на удаленный сервер (46.226.108[.]171:8000).
Но, несмотря на название, одной только кражей куки CookieMiner не ограничивается. Также вредонос скачивает Python-скрипт (harmlesslittlecode.py), при помощи которого извлекает сохраненные в браузере Chrome учетные данные и информацию о банковских картах.
Также CookieMiner сообщает на управляющий сервер обо всех путях к файлам, связанным с криптовалютными кошельками, чтобы позже иметь возможность похитить эти файлы (как правило, речь идет о приватных ключах от кошельков). Хуже того, если у пользователя установлен iTunes, и тот используется для синхронизации Mac с iPhone, вредонос попытается добраться до резервных копий текстовых сообщений (SMSFILE), что может позволить злоумышленникам обойти двухфакторную аутентификацию, похитив одноразовые коды.
Однако операторы малвари не только похищают средства пользователей и перехватывают контроль над чужими аккаунтами на крупных биржах. Также CookieMiner устанавливает на зараженную машину скрытого майнера, который будет добывать пока еще малоизвестную анонимную криптовалюту Koto.
