Seguridad

Detectado CookieMiner, nuevo malware para Mac

El equipo de investigación de la Unidad 42 de Palo Alto Networks ha descubierto una nuevo malware para Mac. Diseñada para robar cookies del navegador y credenciales, este sería un intento de retirar fondos de las cuentas de intercambio de criptomonedas.

CookieMiner: Un nuevo malware para Mac

CookieMiner

Llamado CookieMiner por su capacidad de robar cookies relacionadas con los intercambios de criptomonedas, el malware ha sido específicamente diseñado para apuntar a los usuarios de Mac. Los investigadores creen que ha sido basado en DarthMiner, otro malware de Mac detectado en diciembre de 2018.

Peligros adicionales

CookieMiner

CookieMiner también instala secretamente software de minado de monedas, para conseguir que los Mac infectados proporcionen criptomonedas adicionales. En el caso de CookieMiner, esta aparentemente diseñado para minar “Koto“. Esta es una criptomoneda menos conocida y orientada a la seguridad usada principalmente en Japón.

Aun así, las capacidades mas interesantes del nuevo malware es robar:

  • Cookies de los navegadores Chrome y Safari asociadas a los servicios web mas populares de intercambios y cartera de criptomonedas.
  • Nombres de usuario, contraseñas e información de tarjetas de crédito guardadas en el navegador Chrome.
  • Datos y claves de las carteras de criptomonedas.
  • Copias de seguridad en iTunes de SMS de iPhone de la victima.

Se ha descubierto que CookieMiner apunta a Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet y cualquier web con “blockchain” en el dominio, y que además use cookies para rastrear temporalmente a sus usuarios.

Como gana acceso

Usando la combinación de credenciales robadas, cookies web y SMS seria posible para un atacante saltarse incluso las autenticaciones de 2 pasos.

También hay que anotar que todavía no hay evidencias de que los atacantes hayan robado con éxito ningún fondo, pero están especulando en base al comportamiento observado.

Riesgos y precauciones

Además, CookieMiner también usa el backdoor EmPyre para control post-explotación, permitiendo a los atacantes tomar remotamente el control del sistema Mac.

EmPyre es un agente Python que comprueba si la aplicación Little Snitch esta activa, en cuyo caso, se detiene y sale. Los atacantes también pueden configurar este agente para descargar archivos adicionales.

Aunque aun no esta clara la vía de infección, se cree que el vector es una descarga de software con la que engaña a los usuarios.

Palo Alto Networks ya ha contactado con Google, Apple y los servicios de criptomonedas objetivo para avisar del problema.

TE RECOMENDAMOS
¿Qué es el Typosquatting? ¿Es peligroso?

Recomendaciones

Ya que se cree que la campaña sigue activa, la mejor manera de prevenir es evitar guardar tus credenciales o información de tarjeta de crédito dentro de las aplicaciones web. Y por supuesto, no descargar aplicaciones de terceros.

Además, recomendamos limpiar cookies cuando visites servicios financieros o bancarios y mantenerse atento a sus configuraciones de seguridad.

Vía
The Hacker News
Fuente
Unit 42MalwareBytes lab

David Navas

Pasito a pasito voy sacando noticias y tutoriales con los MEJORES MÉTODOS.
Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Miguel Ángel Navas Carrera, con la finalidad de gestionar los comentarios que realizas en este blog. La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podrás comentar en este blog. Puedes consultar Política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en info@profesionalreview.com
Botón volver arriba