Mercado

Malware para Mac rouba cookies com transações de criptomoeda

Rouba, também, senhas salvas no Chrome e busca mensagens de texto do iPhone em backups no iTunes com um Mac conectado

ransomware para androidA Unit 42 da Palo Alto Networks descobriu recentemente um malware que parece ter evoluído do OSX.DarthMiner visando a plataforma Mac. Este malware é capaz de roubar cookies de navegadores associados a sites famosos de transações de criptomoedas e sites de serviço de carteira de criptomoedas visitados pela vítima. Ele também rouba senhas salvas no Chrome e busca mensagens de texto do iPhone em backups no iTunes com um Mac conectado.

Aproveitando a combinação de credenciais de login roubadas, cookies da Web e dados SMS, com base em ataques anteriores como este, acreditamos que os atores por trás deste malware poderiam ignorar o multifator autenticação para esses sites.

Se bem-sucedido, os invasores teriam acesso total à conta de transações da vítima e/ou carteira e poder usar esses fundos como se fossem eles mesmos.

O malware também configura o sistema para carregar o software de mineração de criptomoedas. Este software é feito para se parecer com um minerador de moedas do tipo XMRIG, que é usado para minerar Monero. Na verdade, ele carrega um minerador de Koto, uma criptomoeda menos conhecida associada ao Japão.

Devido à maneira como esse malware ataca os cookies associados a transações, a Unit 42 nomeou este malware “CookieMiner”.

Background
Web Cookies são amplamente usados para autenticação. Quando um usuário faz login em um site, seus cookies são armazenados para que o servidor Web saiba o status de login. Se os cookies forem roubados, o invasor poderá entrar no site para usar a conta da vítima. Roubar cookies é um passo importante para contornar a detecção de anomalias de login. Se apenas o nome de usuário e a senha forem roubados e usados por um ator malicioso, o site pode emitir um alerta ou solicitar autenticação adicional para um novo login. No entanto, se um cookie de autenticação também for fornecido junto com o nome de usuário e senha, o site pode acreditar que a sessão está associada a um host do sistema autenticado previamente e não emitirá um alerta ou solicitará métodos de autenticação adicionais.

Um exchange de criptomoedas é um local para negociar moedas criptografadas por outros ativos, como outras moedas digitais (criptográficas) ou moeda fiduciária convencional. A maioria das trocas de criptomoedas modernas e os serviços de carteira on-line possuem autenticação multifator. O CookieMiner tenta navegar após o processo de autenticação, roubando uma combinação das credenciais de login, mensagens de texto e cookies da web. Se os agentes mal-intencionados entrarem nos sites usando a identidade da vítima, eles poderão realizar retiradas de fundos. Essa pode ser uma maneira mais eficiente de gerar lucros do que a mineração em criptomoedas. Além disso, os atacantes poderiam manipular os preços da criptomoeda com compras de grande volume e/ou venda de ativos roubados, resultando em lucros adicionais.

Detalhes Técnicos
Um resumo do comportamento do CookieMiner,  (discutido em mais detalhes nas seções a seguir):

· Rouba cookies do navegador Google Chrome e Apple Safari da máquina da vítima

· Rouba nomes de usuário e senhas salvas no Chrome

· Rouba credenciais de cartão de crédito salvas no Chrome

· Rouba as mensagens de texto do iPhone se o backup for feito no Mac

· Rouba dados e chaves da carteira de criptomoedas

· Mantém o controle total da vítima usando o backdoor EmPyre

· Minera criptomoeda na máquina da vítima

Roubando cookies
O ataque CookieMiner começa com um script de shell direcionado ao MacOS. Ele copia os cookies do navegador Safari para uma pasta e faz o upload para um servidor remoto (46.226.108 [.] 171: 8000). O servidor hospeda o serviço “curldrop” (https://github.com/kennell/curldrop), que permite aos usuários fazerem upload de arquivos com curl.

O ataque busca cookies associados com transações de criptomoeda que incluem Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet e qualquer site com “blockchain” em seu nome de domínio, como www.blockchain.com

Roubando cartões de crédito, senhas, carteiras e SMS
O Safari da Apple não é o único navegador da Web na mira. O Google Chrome também atrai a atenção dos atores de ameaça devido à sua popularidade. O CookieMiner faz o download de um script em Python chamado “harmlesslittlecode.py” para extrair credenciais de login e informações de cartão de crédito salvas no armazenamento de dados local do Chrome.

O CookieMiner adota técnicas do código do projeto Google Chromium para suas operações de descriptografia e extração e faz uso abusivo dos códigos. O Google Chromium é uma versão de código aberto do navegador Google Chrome. Ao adotar essas técnicas, a CookieMiner tenta roubar informações de cartões de crédito de grandes emissores, como Visa, Mastercard, American Express e Discover. As credenciais de login salvas do usuário também são roubadas, incluindo nomes de usuário, senhas e URLs da Web correspondentes.

O CookieMiner registra todos os caminhos de arquivo relacionados à carteira para seu servidor remoto para que este possa enviar os arquivos posteriormente de acordo com os comandos do C2 (Comando e Controle). Esses arquivos geralmente incluem chaves privadas de carteiras de criptomoedas. Se as vítimas usam o iTunes para fazer backup de arquivos do iPhone para o Mac (pode ser via Wi-Fi), as mensagens de texto do iPhone (SMSFILE) também serão roubadas pelos invasores.

Mineração de criptomoedas
CookieMiner configura a máquina da vítima para minerar a criptomoeda e manter a persistência. O programa xmrig2 é um executável de Mach-O para mineração de criptomoedas. O endereço k1GqvkK7QYEfMj3JPHieBo1m7FUkTowdq6H tem um desempenho de mineração considerável. Ele foi classificado como um dos principais mineradores do pool Maruru (koto-pool.work). A criptomoeda minerada é chamada Koto, que é uma criptografia anônima baseada em Zcash. Ele usa o algoritmo “Yescrypt”, que é bom para mineradores de CPU, mas não é ideal para mineradores de GPU. Isso é ideal para malwares, pois não é garantido que os hosts da vítima tenham GPUs discretas instaladas, mas têm a garantia de que a CPU está disponível. No entanto, o nome do arquivo xmrig2 é normalmente usado pelos mineradores de Monero. A Unit 42 acredita que os autores de malware podem ter usado intencionalmente esse nome de arquivo para criar confusão, já que o minerador em funcionamento irá minerar a criptomoeda Koto.

Controle remoto
Para persistência e controle remoto, o script faz o download de outro script Python codificado em base 64 de hxxps:// ptpb [.] Pw / OAZG. Após várias etapas de desofuscação, encontramos os invasores usando o EmPyre para controle pós-exploração. O EmPyre é um agente pós-exploração de Python baseado em comunicações criptologicamente seguras e uma arquitetura flexível. O invasor pode enviar comandos para a máquina da vítima para controle remoto. Além disso, o agente verifica se o Little Snitch (um firewall de aplicativo) está sendo executado no host da vítima. Se assim for, irá parar e sair.

O malware “CookieMiner” destina-se a ajudar os agentes de ameaças a gerar lucro, coletando informações de credenciais e criptografia de mineração. Se os invasores tiverem todas as informações necessárias para o processo de autenticação, a autenticação multifator pode ser derrotada. Os proprietários de criptomoedas devem ficar atentos em suas configurações de segurança e ativos digitais, para evitar comprometimento e vazamento.

Os clientes da Palo Alto Networks são protegidos pelo WildFire, que é capaz de detectar automaticamente o malware. Os usuários do AutoFocus podem rastrear essa atividade usando a tag StealCookie.

A Palo Alto Network é uma empresa de segurança de última geração, liderando uma nova era em cibersegurança, que permite com segurança aplicações e prevenção de violações cibernéticas para dezenas de milhares de organizações por todo o mundo. Construída com uma abordagem inovadora e capacidades altamente diferenciadas de prevenção de ciberameaças, nossa plataforma de segurança inovadoras entregam segurança muito superior a produtos já existentes ou direcionados, permite com segurança a operação de negócios diários e protege os ativos mais vulneráveis de uma organização.

Serviço
www.paloaltonetworks.com
*Esta é uma publicação do blog da Unit 42, unidade de pesquisa da Palo Alto Networks. Para análise completa, visite o link (em inglês):
https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/

Comentar

Clique aqui para comentar

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou quaisquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.

Assine a nossa Newsletter

e receba informações relevantes do mercado TIC

Seu e-mail foi cadastrado com sucesso!
Captcha obrigatório

Agenda & Eventos