Эксперты Palo Alto Networks рассказали о малвари CookieMiner, ориентированной на пользователей macOS. По мнению специалистов, новый вредонос основан на другой малвари для Mac, OSX.DarthMiner, найденной в декабре прошлого года.

Как распространяется новая угроза, пока неясно, но для организации удаленного доступа CookieMiner использует бэкдор EmPyre, как и его предшественник. Также известно, что проникнув в систему, CookieMiner проверяет куки браузеров на предмет связи с известными криптовалютными биржами и сайтами, имеющими слово «blockchain» в имени домена (Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet). После вредонос задействует шелл скрипты и похищает куки из Chrome и Safari, загружая их на удаленный сервер (46.226.108[.]171:8000).

Но, несмотря на название, одной только кражей куки CookieMiner не ограничивается. Также вредонос скачивает Python-скрипт (harmlesslittlecode.py), при помощи которого извлекает сохраненные в браузере Chrome учетные данные и информацию о банковских картах.

Также CookieMiner сообщает на управляющий сервер обо всех путях к файлам, связанным с криптовалютными кошельками, чтобы позже иметь возможность похитить эти файлы (как правило, речь идет о приватных ключах от кошельков). Хуже того, если у пользователя установлен  iTunes, и тот используется для синхронизации Mac с iPhone, вредонос попытается добраться до резервных копий текстовых сообщений (SMSFILE), что может позволить злоумышленникам обойти двухфакторную аутентификацию, похитив одноразовые коды.

Однако операторы малвари не только похищают средства пользователей и перехватывают контроль над чужими аккаунтами на крупных биржах. Также CookieMiner устанавливает на зараженную машину скрытого майнера, который будет добывать пока еще малоизвестную анонимную криптовалюту Koto.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии