Нов злонамерен софтуер поразява MAC устройства

Нов злонамерен софтуер поразява MAC устройства
нов злонамерен софтуер

НОВ ЗЛОНАМЕРЕН СОФТУЕР ОТСЯВА ДАННИ ЗА КРИПТОПОРТФЕЙЛИ, КРЕДИТНИ КАРТИ И ЛИЧНИ ДОКУМЕНТИ. НАЙ – ЗАСТРАШЕНИ СА МАС УСТРОЙСТВАТА

CookieMiner е нов щам на злонамерен софтуер, способен да открадне и да премахне бисквитките на уеб браузъра, свързани с онлайн услугите за портфейли и сайтовете за обмен на криптовалути, както и с пароли, текстови съобщения и идентификационни данни за кредитни карти.

Новооткритият зловреден софтуер е насочен към устройствата на Mac и споделя поне част от кода си с щамовете OSX.DarthMiner и OSX.LamePyre, открити от основните вендори на продукти за киберзащита през декември 2018 г.

Всички те се възползват от  EmPyre Backdoor за дистанционно управление, като задната врата е известна като “криптологично защитени комуникации и гъвкава архитектура” и придвижва произволни команди към заразените Макове след експлоатацията според специалистите.

Докато почти всички криптовалутни обмени и онлайн портфейлни услуги използват многофакторно удостоверяване, зловредният софтуер на CookieMiner се опитва да заобиколи този модерен процес на удостоверяване чрез събиране на сложна комбинация от идентификационни данни за вход, текстови съобщения и уеб бисквитки.

CookieMiner позволява на участниците, които стоят зад него, да се докопат до огромен брой данни от компрометирани машини и всичко започва със скрипт, който започва да събира бисквитките на браузърите и ги качва на отдалечен сървър, който изпълнява услугата curldrop.

нов злонамерен софтуер поразява MAC продукти

Блок 42 на Palo Alto Networks казва, че “Атаката е насочена към бисквитки, свързани с обмен на криптовалути, които включват Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet и всеки уебсайт, който има” blockchain “в името на домейна си, като www.blockchain.com “.

CookieMiner се наблюдава, докато се претърсва за информация за кредитни карти и идентификационни данни за вход чрез данните, съхранявани локално от Apple Safari и Google Chrome, две много популярни уеб браузъри на платформата macOS.

Зловредният софтуер също така е предназначен за сканиране на информация за портфейла и текстови съобщения от резервни копия на iPhone, които се извличат и копират във файл interestingfiles.txt, който нападателите могат по-късно да извлекат с помощта на команди, изпратени чрез сървърите за управление и контрол (С2).

CookieMiner копае и  за криптовалута Koto

CookieMiner също използва машините, които успява да компрометира, за да копае за Zcash-базирана анонимна критпо-валута Koto с помощта на бинарната xmrig2 coinminer.

Престъпниците, стоящи зад тази атака, пренасочиха името на модела на XMRig CPU, инструмент, използван най-вече за извличане на по-популярните монети Monero, вероятно като опит да се объркат изследователите на зловредния софтуер.

Извличането на криптовалути се използва от нападателите или като опит да се генерират допълнителни печалби, или като стратегия за монетизиране на компрометираните машини, на които техният зловреден софтуер не е успял да намери нищо ценно за кражба.

Специалистите от Блок 42 също  направиха бърз списък на функциите, които проявява зловредният софтуер на CookieMiner на Мас платформите по време на техния анализ:

–  Краде  „бисквитките“ на браузъра Chrome и на браузъра Apple Safari от Mac устройството на жертвата
–  Краде запазени потребителски имена и пароли в браузърите
– Краде съхранените данни за кредитна карта в браузърите
– Открадва текстовите съобщения на iPhone, ако се архивира с Mac
– Краде криптовалутни данни и ключове
– Поддържа пълния контрол над жертвата чрез задната врата на EmPyre
– Копае криптовалута на машината на жертвата

Не за първи път злонамерен софтуер за Mac е насочен към криптовалута

Потребителите на Mac, които притежават криптовалута, често са били  обект на злонамерен софтуер в миналото, с групата Lazarus, севернокорейските хакери, които хакнаха Sony Films, като внедряват първия си зловреден софтуер за Mac, който успешно прониква в изчислителните системи на азиатската платформа за обмен на криптовалута.

През юли 2018 г., потребителите, които посещаваха фокусирани към криптоварна валута Slack и Discord сървъри, бяха призовани да въведат команда в своите терминали на macOS от мошеници, които се представят като администратори и модове. Това доведе последствието, че  вредоносният софтуер OSX.Dummy (Тъпчо) се изпълнява на сметки на стотици хиляди  потребители.

Този специфичен зловреден софтуер беше наречен „Тъпчо“  от експерта по сигурността Патрик Уордъл, поради метода на “тъпата” инфекция, механизма за постоянство, лекотата на откриване и доста ограничените възможности.

Всички продукти на Panda Security – от тези за домашни потребители, до корпоративните решения, са приложими и към Мас устройства и за разлика от други вендори – на същата цена като за Windows и Android. Притежателите на Мас устройства често се смятат за недосегаеми за хакерите, но събитията от последните две години показват, че това вече не е така.

Източник: по материали от интернет

Сподели в:

Категории:

Следвай ни в: