Вирус CookieMiner взломал не один цифровой кошелек у пользователей Mac

Ваш цифровой кошелек под угрозой

31 января группа по кибербезопасности Palo Alto Networks сообщила о появлении нового вируса CookieMiner. Вирус крадет cookie-файлы из браузеров пользователей платформы Mac, чтобы взламывать их учетные записи на криптовалютных биржах и кошельках. Каждый цифровой кошелек сейчас находится под угрозой. Атака нацелена на файлы cookie, связанные с криптовалютными биржами: Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet. Под угрозой находятся биржи  и любой веб-сайт, имеющий в своем доменном имени слово «блокчейн». Например, www.blockchain.com

Браузер Safari от Apple не единственный целевой браузер. Внимание мошенников также привлекает Google Chrome. CookieMiner загружает скрипт Python под названием “harmlesslittlecode.py”. Далее из локального хранилища данных Chrome извлекаются сохраненные учетные данные и информация о кредитных картах.

Как защитить свои цифровые кошельки?

CookieMiner похищает сохраненные пароли, SMS-сообщения iPhone и резервные копии iTunes.

Вирус использует методы из кода Google Chromium. Это версия браузера Google Chrome с открытым исходным кодом. Используя эти методы, CookieMiner пытается украсть информацию о кредитных картах у крупных эмитентов: Visa, Mastercard, American Express и Discover. Сохраненные учетные данные пользователя, включая логины, пароли и веб-адреса также находятся в зоне риска.

Вирус CookieMiner сообщает обо всех путях, ведущих к файлам кошельков, на свой удаленный сервер. Позже он сможет загрузить эти файлы в соответствии с командами C2. Эти файлы обычно содержат скрытые ключи криптовалютных кошельков. Если жертвы используют iTunes для резервного копирования файлов с iPhone на Mac (даже через Wi-Fi), их текстовые сообщения iPhone (SMSFILE) также будут получены злоумышленниками.

Пути вируса по криптовалютным кошелькам

Cookie-файлы широко используются для аутентификации. Когда пользователь заходит на веб-сайт, его cookie сохраняются для веб-сервера, чтобы отслеживать статус входа. В случае кражи файлов cookie злоумышленник может войти на веб-сайт и использовать учетную запись своей жертвы. Кража файлов cookie значительно упрощает вход в учетную запись. Если аккаунт пользователя имеет двухфакторную аутентификацию, то для входа в его учетную запись недостаточно логина и пароля. Веб-сайт может выдать предупреждение или запросить дополнительную аутентификацию для нового входа пользователя. Но когда хакеры владеют cookie-файлами аутентификации, они могут использовать их так, что попытка входа в систему как будто бы подключена к ранее проверенному сеансу. Тогда веб-сайт не будет запрашивать аутентификацию при входе в систему.

Согласно версии Palo Alto Networks, хакеры намерены обойти многоуровневую систему аутентификации. Такую систему многие пользователи криптовалютных бирж устанавливают для обеспечения дополнительной безопасности.

«В случае взлома злоумышленники получат полный доступ к счетам и кошелькам своих жертвы. Они смогут полностью контролировать их средства.»

Вирус имеет еще одну особенность! Даже если ему не удастся заполучить криптовалюту пользователя, она установит программное обеспечение, чтобы использовать Mac для майнинга.

Заместитель директора по угрозам подразделения Palo Alto Networks Unit 42 Джен Миллер-Осборн говорит, что ни одна из этих технологий не нова. Однако направленность нового вируса отличает его от аналогичных вредоносных программ.

«Есть много майнерских вирусов и вредоносных ПО, крадущих учетные данные или файлы cookie. Все это не оригинально. Ориентация на получение доступа к криптовалютным биржам и попытка многофакторную аутентификацию является открытием в этом направлении», — добавил Миллер-Осборн.

Берегите свой цифровой кошелек

Нужно чистить кеш браузера после каждого входа в финансовые учетные записи. Не храните учетные данные, дающие доступы к деньгами в браузере.

Еще в октябре 2018 было обнаружено, что приложение CoinTicker устанавливает на Mac бэкдоры, которые можно использовать для преступных целей.

А исследования вредоносного ПО и майнерских вирусов, проведенные Королевским колледжем Лондона и Университетом Карлоса III в Мадриде, установили, что Monero продолжает оставаться любимой монетой майнеров. Они имеют незаконный запас около 4,36%, что составляет, примерно, 56 миллионов долларов.

«Владельцы криптовалюты должны следить за своими настройками безопасности и цифровыми активами, чтобы предотвратить взлом и утечку», — сделал заключение Palo Alto Networks.

Узнавай горячие новости крипторынка одним из первых.