В сообщениях компании по кибербезопасности утверждается, что они идентифицировали вредоносную программу, разработанную для преодоления двухфакторной аутентификации, обычно используемой для защиты различных учетных записей в Интернете. Программное обеспечение крадет учетные данные, включая файлы cookie браузера, чтобы разрешить доступ к криптовалютным учетным записям. CookieMiner, как известно вредоносное ПО, предназначается исключительно для пользователей Mac благодаря функциональности продуктов Apple.
Помимо кражи данных для входа и творческого подрыва мер предосторожности, вредоносное ПО CookieMiner также использует машину жертвы для скрытого майнинга скрытого цифрового актива под названием Koto.
Пользователи Mac остерегайтесь: вредоносные программы CookieMiner подвергают риску трейдеров криптовалюты
Согласно исследованию, проведенному Palo Alto Networks, новое вредоносное ПО нацелено на пользователей Mac. Фирма кибербезопасности прозвала атаку «CookieMiner». Это связано с тем, что программное обеспечение крадет куки-файлы с зараженного компьютера жертвы, а также тайно использует криптовалюту для обогащения тех, кто стоит за мошенничеством — так называемым крипто-взломом.
Поскольку биржи криптовалют используют несколько уровней мер безопасности, для получения доступа к учетным записям предпринят ряд различных шагов:
- Файлы cookie Google Chrome и Apple Safari украдены.
- Сохраненные имена пользователей и данные кредитных карт из Chrome украдены.
- Текстовые сообщения, сохраненные на Mac, украдены с iPhone жертвы.
- Браузерные куки-файлы украдены, чтобы предотвратить обнаружение аномалий при входе в систему.
Основная цель CookieMiner — получить доступ к учетным записям пользователей Mac на популярных биржах цифровой валюты. Однако, поскольку биржи используют повышенные процедуры безопасности при входе пользователей в систему, одних их учетных данных обычно недостаточно для взлома учетной записи. Вот почему CookieMiner также пытается обмануть автоматизированные процедуры защиты учетных записей бирж путем кражи файлов cookie браузера. Они используются для гарантии того, что устройство, используемое для входа, не будет помечено как подозрительное, даже если владелец учетной записи никогда не использовал это устройство ранее.
Киберпреступники становятся все более творческими, когда дело доходит до кражи криптовалюты.
Используя эту комбинацию учетных данных и файлов cookie, злоумышленники часто могут обойти процесс двухфакторной аутентификации, защищающий учетные записи. Это дает им полный доступ к любой криптовалюте, которую жертва хранила в скомпрометированной учетной записи обмена.
CookieMiner также добывает криптовалюту от своих жертв
Поскольку вредоносное ПО не дает никаких гарантий дохода тем, кто стоит за ним, CookieMiner также устанавливает программное обеспечение для майнинга на зараженную машину. Palo Alto Networks утверждают, что программа сделана так, чтобы выглядеть как часть программного обеспечения Monero-майнинга. Тем не менее, вместо майнинга наиболее часто крипто-взломанного актива, он устанавливает для майнинга пользователей компьютера Koto — еще одну криптовалюту, ориентированную на конфиденциальность, связанную с Японией, которую можно добывать, используя только процессор.
Конечно, это едва ли не первый пример криптографического взлома NewsBTC, о котором сообщалось. Предыдущий пример включал попытки северокорейских хакеров получить доход за пределами типичной международной торговли, от которой мошенническая нация в значительной степени исключена. Однако пока нет никаких доказательств того, что атака CookieMiner связана с этими прошлыми примерами.
Избранные изображения из Shutterstock.
