skip to Main Content

CookieMiner, nuovo malware per Apple macOS che ruba criptovaluta e credenziali

CookieMiner, Nuovo Malware Per Apple MacOS Che Ruba Criptovaluta E Credenziali

La Unit 42 di Palo Alto Networks: Si chiama CookieMiner ed è un nuovo malware per i sistemi Apple macOS, che ruba i cookies, le credenziali e le password, allo scopo di sottrarre criptovaluta alle vittime

Si chiama CookieMiner ed è un nuovo malware per i sistemi Apple macOS, il cui obiettivo è il furto di criptovaluta. Lo hanno scoperto i ricercatori di cyber security della Unit 42 di Palo Alto Networks. Il codice malevolo, che sembra sia l’evoluzione di DarthMiner (un altro codice malware per dispositivi Apple con caratteristiche simili), innanzitutto ruba i cookie del browser associati a siti Web per lo scambio di cryptocurrencies e a servizi online di portafogli elettronici. Inoltre, è inoltre in grado di sottrarre le credenziali delle carte di credito e le password salvate in Google Chrome e di accedere ai messaggi di testo degli iPhone, salvati localmente come backup di iTunes. Combinando le informazioni raccolte, CookieMiner tenta di aggirare i meccanismi di autenticazione multi-fattore e accedere agli account dei siti di scambio o ai portafogli elettronici della vittima, per moneta digitale impersonando l’utente reale. 

Il codice malevolo, evoluzione di DarthMiner, fa anche cryptomining e cerca di divenire persistente sulla macchina infetta

CookieMiner cerca specificamente i cookie associati a Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet e a ogni sito che include in termine “blockchain” nel proprio nome di dominio. Il malware, il cui primo stadio di infezione è costituito da uno script di shell, carica sul sistema anche un cryptominer studiato per apparire come derivato dal tool open source XMRig, che viene usato per estrarre Koto, una criptovaluta di origine giapponese. Infine, tenta di divenire persistente sulla macchina infetta e di ottenere il pieno controllo del sistema. Ciò, installando una copia della backdoor open source EmPyre, già utilizzata anche da DarthMiner. Ma, prima di operare, questo controlla se sul computer Apple sia installata e in esecuzione il firewall personale Little Snitch. In caso affermativo, non si attiva.

Back To Top