O novo vírus foi criado para contornar etapas de segurança

Recentemente foi descoberto um novo malware focado em usuários  de produtos da Mac que rouba cookies, credenciais e outras informações para invadir contas das vítimas em exchanges de criptomoedas.

Chamado de “CookieMiner”, o malware coleta dados relacionados a criptomoedas para contornar medidas de segurança, como autenticação de dois fatores, visando desviar os fundos das vítimas de suas respectivas contas.

“O CookieMiner tenta passar pelo processo de autenticação roubando uma combinação de credenciais de login, mensagens de texto e cookies da web (…) Caso os invasores entrem com sucesso nos sites utilizando a identidade da vítima, eles poderão realizar retiradas de fundos. Esta pode ser uma maneira mais eficiente de gerar lucros do que a mineração direta de criptomoedas”, disseram os pesquisadores do Palo Alto Networks Unit 42.

Até o momento os pesquisadores não encontraram evidências de retiradas de fundos realizadas com sucesso, mas especulam sobre o assunto com base na natureza comportamental do malware. A equipe enfatizou que o roubo de cookies é um importante passo para contornar a detecção de anomalias de login.

Caso o invasor tente acessar uma conta somente com o usuário e senha, o site pode emitir um alerta e solicitar a autenticação adicional, mas se um cookie de autenticação for fornecido juntamente com os dados de acesso, o site pode acreditar que a sessão está associada a um sistema de autenticação anterior.

O ataque tem início com um script shell direcionado a usuários do MacOS. De acordo com os pesquisadores, o malware pode ter sido desenvolvido a partir do OSX.DarthMiner, script focado na plataforma Mac que combina o EmPyre backdoor (agente Python baseado em comunicações criptografadas seguras com uma arquitetura flexível) e o XMRig cryptominer.

• Leia mais: Bitfury irá lançar centros de mineração de Bitcoin no Paraguai

Similar ao DarthMiner, os usuários do CookieMiner utilizaram o EmPyre para permitir o envio de comandos para controlar o sistema das vítimas remotamente.

De acordo com Jen Miller-Osborn, vice-diretora do setor de Inteligência de Ameaças da Unit 42, os pesquisadores não tem certeza de como as vítimas são infectadas pelo script shell, mas suspeitam que pode ser resultado do download de algum programa malicioso de plataformas de terceiros.

Após ser baixado, o script copia os cookies dos navegadores do Safari para uma pasta posteriormente enviada a um servidor remoto. O ataque é focado em cookies associados a exchanges como a Binance, Poloniex, Coinbase, Bitstamp, Bittrex, ou qualquer site que possua “blockchain” no nome de domínio.

“… cookies como estes devem ter limite de tempo, entre outras coisas, o que impede  a ocorrência de ataques abusivos (…) Entretanto, caso seja estabelecido que um cookie possa persistir por longos períodos ou sessões, isso provavelmente funcionaria”, acrescentou Miller.

Mas aparentemente não para por aí. Segundo os pesquisadores, o malware também possui a capacidade de executar uma série de funções assim que instalado no sistema das vítimas, incluindo o roubo de credenciais de nome, senha e cartão de crédito no Chrome, captura de mensagens de texto sincronizadas com o sistema Mac e a instalação de um software de mineração de criptomoedas.

• Leia mais: Ministério russo lança sistema de rastreamento de diamantes baseado em Blockchain

Após a coleta de cookies, o malware foca no roubo de credenciais para contornar os métodos de autenticação de segurança em exchanges. Nesta “fase”, o CookieMiner baixa o “harmlesslittlecode.py”, um script Python que extrai as credenciais de login e informações de cartão de crédito salvas no armazenamento local de dados do Chrome. Isso ocorre graças a aplicação de técnicas de extração e decodificação do código do Chromium, versão de código aberto do Chrome.

“Abusando de tais técnicas, o CookieMiner tenta roubar informações de cartão de crédito de grandes emissores como Visa, Mastercard, American Express e Discover. As credenciais de login salvas no usuário também são roubadas, incluindo nomes de usuário, senhas e URLs da Web correspondentes”, disseram os pesquisadores.

O malware também rouba chaves privadas de wallets no sistema de mensagens de texto do iPhone com backup na Mac via iTunes.

Por último, o CookieMiner emite comandos para configurar o sistema do aparelho para a mineração de Koto, uma criptomoeda anônima baseada no ZCash. Curiosamente o malware utiliza na mineração um arquivo chamado “XMRig2”, normalmente utilizado para minerar Monero. De acordo com os pesquisadores, esta “coincidência” pode ter sido implantada para gerar certa confusão.

A recomendação é que os usuários de produtos Mac fiquem atentos a suas configurações de segurança e criptoativos para evitar situações como esta.

“O malware é destinado a gerar lucro para os invasores, coletando informações de credenciais e minerando criptomoedas. Caso os atacantes obtiverem todas as informações necessárias para o processo de autenticação, a autenticação de vários fatores pode ser derrotada”, disseram os pesquisadores.

• Leia mais: CEO do SBI: XRP será utilizada por grandes bancos em 2019

FONTE: THREAT POST