Malware para Mac rouba cookies com transações de criptomoeda

A Unit 42 da Palo Alto Networks descobriu recentemente um malware que parece ter evoluído do OSX.DarthMiner visando a plataforma Mac. Este malware é capaz de roubar cookies de navegadores associados a sites famosos de transações de criptomoedas e sites de serviço de carteira de criptomoedas visitados pela vítima. Ele também rouba senhas salvas no Chrome e busca mensagens de texto do iPhone em backups no iTunes com um Mac conectado.

Aproveitando a combinação de credenciais de login roubadas, cookies da Web e dados SMS, com base em ataques anteriores como este, acreditamos que os atores por trás deste malware poderiam ignorar o multifator autenticação para esses sites.

Se bem-sucedido, os invasores teriam acesso total à conta de transações da vítima e/ou carteira e poder usar esses fundos como se fossem eles mesmos.

O malware também configura o sistema para carregar o software de mineração de criptomoedas. Este software é feito para se parecer com um minerador de moedas do tipo XMRIG, que é usado para minerar Monero. Na verdade, ele carrega um minerador de Koto, uma criptomoeda menos conhecida associada ao Japão.

Devido à maneira como esse malware ataca os cookies associados a transações, a Unit 42 nomeou este malware “CookieMiner”.

Background
Web Cookies são amplamente usados para autenticação. Quando um usuário faz login em um site, seus cookies são armazenados para que o servidor Web saiba o status de login. Se os cookies forem roubados, o invasor poderá entrar no site para usar a conta da vítima. Roubar cookies é um passo importante para contornar a detecção de anomalias de login. Se apenas o nome de usuário e a senha forem roubados e usados por um ator malicioso, o site pode emitir um alerta ou solicitar autenticação adicional para um novo login. No entanto, se um cookie de autenticação também for fornecido junto com o nome de usuário e senha, o site pode acreditar que a sessão está associada a um host do sistema autenticado previamente e não emitirá um alerta ou solicitará métodos de autenticação adicionais.

Um exchange de criptomoedas é um local para negociar moedas criptografadas por outros ativos, como outras moedas digitais (criptográficas) ou moeda fiduciária convencional. A maioria das trocas de criptomoedas modernas e os serviços de carteira on-line possuem autenticação multifator. O CookieMiner tenta navegar após o processo de autenticação, roubando uma combinação das credenciais de login, mensagens de texto e cookies da web. Se os agentes mal-intencionados entrarem nos sites usando a identidade da vítima, eles poderão realizar retiradas de fundos. Essa pode ser uma maneira mais eficiente de gerar lucros do que a mineração em criptomoedas. Além disso, os atacantes poderiam manipular os preços da criptomoeda com compras de grande volume e/ou venda de ativos roubados, resultando em lucros adicionais.

Detalhes Técnicos
Um resumo do comportamento do CookieMiner,  (discutido em mais detalhes nas seções a seguir):

· Rouba cookies do navegador Google Chrome e Apple Safari da máquina da vítima

· Rouba nomes de usuário e senhas salvas no Chrome

· Rouba credenciais de cartão de crédito salvas no Chrome

· Rouba as mensagens de texto do iPhone se o backup for feito no Mac

· Rouba dados e chaves da carteira de criptomoedas

· Mantém o controle total da vítima usando o backdoor EmPyre

· Minera criptomoeda na máquina da vítima

Roubando cookies
O ataque CookieMiner começa com um script de shell direcionado ao MacOS. Ele copia os cookies do navegador Safari para uma pasta e faz o upload para um servidor remoto (46.226.108 [.] 171: 8000). O servidor hospeda o serviço “curldrop” (https://github.com/kennell/curldrop), que permite aos usuários fazerem upload de arquivos com curl.

O ataque busca cookies associados com transações de criptomoeda que incluem Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet e qualquer site com “blockchain” em seu nome de domínio, como www.blockchain.com

Roubando cartões de crédito, senhas, carteiras e SMS
O Safari da Apple não é o único navegador da Web na mira. O Google Chrome também atrai a atenção dos atores de ameaça devido à sua popularidade. O CookieMiner faz o download de um script em Python chamado “harmlesslittlecode.py” para extrair credenciais de login e informações de cartão de crédito salvas no armazenamento de dados local do Chrome.

O CookieMiner adota técnicas do código do projeto Google Chromium para suas operações de descriptografia e extração e faz uso abusivo dos códigos. O Google Chromium é uma versão de código aberto do navegador Google Chrome. Ao adotar essas técnicas, a CookieMiner tenta roubar informações de cartões de crédito de grandes emissores, como Visa, Mastercard, American Express e Discover. As credenciais de login salvas do usuário também são roubadas, incluindo nomes de usuário, senhas e URLs da Web correspondentes.

O CookieMiner registra todos os caminhos de arquivo relacionados à carteira para seu servidor remoto para que este possa enviar os arquivos posteriormente de acordo com os comandos do C2 (Comando e Controle). Esses arquivos geralmente incluem chaves privadas de carteiras de criptomoedas. Se as vítimas usam o iTunes para fazer backup de arquivos do iPhone para o Mac (pode ser via Wi-Fi), as mensagens de texto do iPhone (SMSFILE) também serão roubadas pelos invasores.

Mineração de criptomoedas
CookieMiner configura a máquina da vítima para minerar a criptomoeda e manter a persistência. O programa xmrig2 é um executável de Mach-O para mineração de criptomoedas. O endereço k1GqvkK7QYEfMj3JPHieBo1m7FUkTowdq6H tem um desempenho de mineração considerável. Ele foi classificado como um dos principais mineradores do pool Maruru (koto-pool.work). A criptomoeda minerada é chamada Koto, que é uma criptografia anônima baseada em Zcash. Ele usa o algoritmo “Yescrypt”, que é bom para mineradores de CPU, mas não é ideal para mineradores de GPU. Isso é ideal para malwares, pois não é garantido que os hosts da vítima tenham GPUs discretas instaladas, mas têm a garantia de que a CPU está disponível. No entanto, o nome do arquivo xmrig2 é normalmente usado pelos mineradores de Monero. A Unit 42 acredita que os autores de malware podem ter usado intencionalmente esse nome de arquivo para criar confusão, já que o minerador em funcionamento irá minerar a criptomoeda Koto.

Controle remoto
Para persistência e controle remoto, o script faz o download de outro script Python codificado em base 64 de hxxps:// ptpb [.] Pw / OAZG. Após várias etapas de desofuscação, encontramos os invasores usando o EmPyre para controle pós-exploração. O EmPyre é um agente pós-exploração de Python baseado em comunicações criptologicamente seguras e uma arquitetura flexível. O invasor pode enviar comandos para a máquina da vítima para controle remoto. Além disso, o agente verifica se o Little Snitch (um firewall de aplicativo) está sendo executado no host da vítima. Se assim for, irá parar e sair.

O malware “CookieMiner” destina-se a ajudar os agentes de ameaças a gerar lucro, coletando informações de credenciais e criptografia de mineração. Se os invasores tiverem todas as informações necessárias para o processo de autenticação, a autenticação multifator pode ser derrotada. Os proprietários de criptomoedas devem ficar atentos em suas configurações de segurança e ativos digitais, para evitar comprometimento e vazamento.

Os clientes da Palo Alto Networks são protegidos pelo WildFire, que é capaz de detectar automaticamente o malware. Os usuários do AutoFocus podem rastrear essa atividade usando a tag StealCookie.

A Palo Alto Network é uma empresa de segurança de última geração, liderando uma nova era em cibersegurança, que permite com segurança aplicações e prevenção de violações cibernéticas para dezenas de milhares de organizações por todo o mundo. Construída com uma abordagem inovadora e capacidades altamente diferenciadas de prevenção de ciberameaças, nossa plataforma de segurança inovadoras entregam segurança muito superior a produtos já existentes ou direcionados, permite com segurança a operação de negócios diários e protege os ativos mais vulneráveis de uma organização.

Serviço
www.paloaltonetworks.com
*Esta é uma publicação do blog da Unit 42, unidade de pesquisa da Palo Alto Networks. Para análise completa, visite o link (em inglês):
https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/