A equipe global de inteligência contra ameaças cibernéticas Palo Alto Networks’ Unit 42 descobriu um novo malware que rouba cookies do navegador e salva senhas dos usuários de Mac para obter acesso a contas de exchanges e carteiras de criptomoedas.
Os pesquisadores acreditam que o malware, que foi nomeado de CookieMiner, pode ignorar a autenticação de 2 fatores (2FA) nesses sites, garantindo aos invasores acesso total à conta da vítima.
Cookies são amplamente usados para autenticação em diversos sites. Quando um usuário faz login em um site, seus cookies são armazenados para que o servidor Web saiba o status de login. Se os cookies forem roubados, o invasor poderá entrar no site para usar a conta da vítima.
De acordo com o relatório, o malware examina os cookies do navegador da vítima do Google Chrome e do Safari, obtendo acesso a senhas e registros de SMS dos backups do iTunes para encontrar dados associados a carteiras de criptomoedas e corretoras.
O malware instala na máquina infectada um falso software de mineração de Monero. Apesar de sua aparência, o software é usado para minerar uma moeda menos popular baseada na Zcash – a Koto. Por fim, o CookieMiner faz download de outro script para conceder aos atacantes controle remoto no computador da vítima.
Um resumo do comportamento do CookieMiner:
- Rouba cookies do navegador Google Chrome e Apple Safari da máquina da vítima
- Rouba nomes de usuário salvos e senhas no Chrome
- Rouba credenciais de cartão de crédito guardadas no Chrome
- Rouba mensagens de texto do iPhone se o backup for feito no Mac
- Rouba dados e chaves das carteiras de criptomoedas
- Mantém controle total no computador da vítima usando o backdoor EmPyre
- Minera criptomoeda no computador da vítima
O malware “CookieMiner” tem objetivo claro de gerar lucro aos atacantes, coletando informações de credenciais de exchanges e minerando criptomoedas.
Se os invasores tiverem todas as informações necessárias para o processo de autenticação, o 2FA pode ser quebrado. Os proprietários de criptomoedas devem ficar de olho em suas configurações de segurança e ativos digitais para evitar comprometimento e vazamento.
Os usuários da Palo Alto Networks estão protegidos pelo WildFire, que é capaz de detectar automaticamente o malware. Os usuários do AutoFocus podem rastrear essa atividade usando a tag StealCookie .