Sütiket lop és kripto-pénztárcákat támad a Mac-es kártevő

A CookieMiner Mac-számítógépekről próbálja meg ellopni a böngészők sütijeit, hogy aztán megtámadja a kripto-pénztárcákat. A kártevőt a Palo Alto Network kutatói fedezték fel és írták le, még az év elején. Most azért írunk róla, mert egyrészt még mindig terjed, másrészt pedig Mac-es kártevőkről ritkábban szoktunk megemlékezni – olvasható a virusirto.hu portálon.

A CookieMiner – ahogyan azt neve is mutatja – a böngésző által tárolt cookie-kra utazik, és a kriptovalutával foglalkozó oldalak (Binace, Bitstamp, Bittrex, Coinbase, MyEtherWallet, Poloniex) sütijét lopja el a Safari és a Chrome böngészőkből, és bármely weboldalról, amelynek nevében benne van a blockchain kifejezés. Miután a kártevő ellopja és összecsomagolja a használó gépén tárolt sütiket, egy távoli szerverre tölti fel őket.

Miért van szükség a sütikre? Mert ezek a cookie-k tárolnak a használóra vonatkozó számos információt, amely segít a pontos azonosításban. Például: ha a hackernek megvan az adott weboldal cookie-ja, a jogos használó nem értesül arról, hogy egy távoli számítógépről beléptek a használói fiókjába. Ha sütik nélküli belépés történik, a védett weboldalak üzenetet küldenek a regisztrált email címre, hogy az esetleges visszaélést meg tudják akadályozni vagy második lépcsős azonosítást kérhetnek, hogy megbizonyosodjanak a használó azonosságáról.

Nyilván ahhoz, hogy a támadás sikeres legyen, a használónevekre, jelszavakra és e-mail címekre is szükség van – a CookieMiner ezeket az adatokat a Chrome böngészőből lopja ki, és küldi el a bűnözőknek, de ha eltárolt bankkártya-adatokat találna, azokat is megosztja gazdáival. A kártevő ezzel sem elégszik meg, olyan fájlokat is keres a használó számítógépén, melyekről valószínűsíthető, hogy a kriptovalutákat tároló pénztárcák titkosításához használt privát kulcsot tartalmazza. Ha a fertőzött számítógépet egy iPhone adatainak mentésére és tárolására is használják, akkor az sms-üzeneteket is képes elküldeni a hackereknek. Ugyanakkor egy hátsó ajtót folyamatosan nyitva tart a fertőzött számítógépen. Törvényszegő tevékenységeit megkoronázandó, a kártevő segítségével a japán hátterű Koto kriptovaluta bányászatára is használhatják a megfertőzött gépet.

Ezek a funkciók meglehetősen súlyos kártevővé teszik a CookieMiner-t, amely a DarthMiner kártevő segítségével jut el az OSX operációs rendszerű számítógépekre. Ezt pedig egy Adobe Zii nevű, megfertőzött termékkel telepítik az óvatlan használók. A törvényes Adobe Zii egyébként egy nem káros szándékú program, viszont sokszor törvényszegésre, Adobe termékek föltörésére használják.

Noha egy régen felfedezett kártevőről van szó, érdemes a CookieMiner-rel foglalkozni. Az Apple mindig is termékei biztonságával kérkedett, azonban rendre kiderül, hogy az OSX operációs rendszernek és a Safari böngészőnek is vannak biztonsági hibái.

Vélhetően ez a kifinomult vírus azért támadja az almás cég termékeit, mert noha a használók kevesebben vannak, átlagban gazdagabb, többet költő és kriptovalutával is többet foglalkozókról van szó.

Hogyan tudunk védekezni ellene? Telepítsünk és használjunk vírusellenes megoldást, mert az Apple-termékek is a bűnözők célpontjává váltak.

Forrás: TripWire.com