A Unit 42 da Palo Alto Networks descobriu recentemente um malware que parece ter evoluído do OSX.DarthMiner visando a plataforma Mac. Este malware é capaz de roubar cookies de navegadores associados a sites famosos de transações de criptomoedas e sites de serviço de carteira de criptomoedas visitados pela vítima. Ele também rouba senhas salvas no Chrome e busca mensagens de texto do iPhone em backups no iTunes com um Mac conectado.
Aproveitando a combinação de credenciais de login roubadas, cookies da Web e dados SMS, com base em ataques anteriores como este, acreditamos que os atores por trás deste malware poderiam ignorar o multifator autenticação para esses sites.
Se bem-sucedido, os invasores teriam acesso total à conta de transações da vítima e/ou carteira e poder usar esses fundos como se fossem eles mesmos.
O malware também configura o sistema para carregar o software de mineração de criptomoedas. Este software é feito para se parecer com um minerador de moedas do tipo XMRIG, que é usado para minerar Monero. Na verdade, ele carrega um minerador de Koto, uma criptomoeda menos conhecida associada ao Japão.
Devido à maneira como esse malware ataca os cookies associados a transações, a Unit 42 nomeou este malware “CookieMiner”.
Background
Web Cookies são amplamente usados para autenticação. Quando um usuário faz login em um site, seus cookies são armazenados para que o servidor Web saiba o status de login. Se os cookies forem roubados, o invasor poderá entrar no site para usar a conta da vítima. Roubar cookies é um passo importante para contornar a detecção de anomalias de login. Se apenas o nome de usuário e a senha forem roubados e usados por um ator malicioso, o site pode emitir um alerta ou solicitar autenticação adicional para um novo login. No entanto, se um cookie de autenticação também for fornecido junto com o nome de usuário e senha, o site pode acreditar que a sessão está associada a um host do sistema autenticado previamente e não emitirá um alerta ou solicitará métodos de autenticação adicionais.
Um exchange de criptomoedas é um local para negociar moedas criptografadas por outros ativos, como outras moedas digitais (criptográficas) ou moeda fiduciária convencional. A maioria das trocas de criptomoedas modernas e os serviços de carteira on-line possuem autenticação multifator. O CookieMiner tenta navegar após o processo de autenticação, roubando uma combinação das credenciais de login, mensagens de texto e cookies da web. Se os agentes mal-intencionados entrarem nos sites usando a identidade da vítima, eles poderão realizar retiradas de fundos. Essa pode ser uma maneira mais eficiente de gerar lucros do que a mineração em criptomoedas. Além disso, os atacantes poderiam manipular os preços da criptomoeda com compras de grande volume e/ou venda de ativos roubados, resultando em lucros adicionais.
Detalhes Técnicos
Um resumo do comportamento do CookieMiner:
– Rouba cookies do navegador Google Chrome e Apple Safari da máquina da vítima
– Rouba nomes de usuário e senhas salvas no Chrome
– Rouba credenciais de cartão de crédito salvas no Chrome
– Rouba as mensagens de texto do iPhone se o backup for feito no Mac
– Rouba dados e chaves da carteira de criptomoedas
– Mantém o controle total da vítima usando o backdoor EmPyre
– Minera criptomoeda na máquina da vítima
Conclusão
O malware “CookieMiner” destina-se a ajudar os agentes de ameaças a gerar lucro, coletando informações de credenciais e criptografia de mineração. Se os invasores tiverem todas as informações necessárias para o processo de autenticação, a autenticação multifator pode ser derrotada. Os proprietários de criptomoedas devem ficar atentos em suas configurações de segurança e ativos digitais, para evitar comprometimento e vazamento.
