Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

“CookieMiner”: scoperto malware per il furto di criptovalute su sistemi macOS

backdoor  CookieMiner  cryptominer   venerdì, 1 febbraio 2019

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto un nuovo esemplare di malware per i sistemi Apple macOS, battezzato CookieMiner, progettato principalmente per “rubare” i cookie del browser associati a siti Web per lo scambio di criptovalute e a servizi online di portafogli elettronici.

CookieMiner, che i ricercatori ritengono essere stato sviluppato sulla base di un altro malware per i sistemi Apple, DarthMiner, è inoltre in grado di sottrarre le password salvate in Google Chrome e di accedere ai messaggi di testo degli iPhone salvati localmente come backup di iTunes.

Combinando le informazioni raccolte dalle credenziali di login, dai cookie e dagli SMS, CookieMiner potrebbe tentare di aggirare i meccanismi di autenticazione multi-fattore ed accedere agli account dei siti di scambio o ai portafogli elettronici della vittima, dai quali sottrarre somme in criptovalute a piacimento, impersonando l’utente reale. Il malware ricerca specificamente i cookie associati a siti come Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet e ad ogni sito che include in termine “blockchain” nel proprio nome di dominio, come ad esempio www[.]blockchain[.]com. I cookie catturati vengo altresì inviati ad un server remoto.

Il malware, il cui primo stadio di infezione è costituito da uno script di shell, carica altresì sul sistema un cryptominer studiato per apparire come derivato dal tool open source XMRig, che viene usato per estrarre la criptovaluta Monero (XMR). In realtà, questo tool viene utilizzato per estrarre Koto, una criptovaluta meno nota di origine giapponese.

Infine, CookieMiner tenta di divenire persistente sulla macchina infetta e di ottenere il pieno controllo del sistema installando una copia della backdoor open source EmPyre, già utilizzata anche da DarthMiner.

EmPyre è un software post-exploit sviluppato in Python basato su un sistema di comunicazione crittograficamente sicuro e su un’architettura flessibile. Tramite EmPyre, un attaccante è in grado di inviare comandi alla macchina della vittima e di controllarla da remoto. Questo tool verifica se sul computer è in esecuzione Little Snitch (un firewall personale molto diffuso in ambiente Mac) e, in caso positivo, termina la propria esecuzione.

Il post originale di Unit 42 contiene un’analisi dettagliata di CookieMiner, inclusi svariati IoC.

Al momento non si hanno informazioni sui possibili vettori di infezione di CookieMiner. Ad ogni modo, si raccomanda agli utenti di computer Mac di installare e mantenere aggiornata una soluzione antivirus sul proprio sistema.

Notizie correlate

“DarthMiner”: malware per macOS con funzioni di backdoor e cryptominer

11 dicembre 2018

I ricercatori di sicurezza di Malwarebytes hanno individuato un nuovo malware per macOS, battezzato DarthMiner, che combina le funzionalità della backdoor EmPyre e del cryptominer XMRig.Leggi tutto

Il cryptominer KingMiner utilizza il 100% della CPU su server Microsoft

3 dicembre 2018

I ricercatori di sicurezza di Check Point hanno individuato un nuovo cryptominer, battezzato KingMiner, che prende di mira i server Microsoft Windows per estrarre Monero.Leggi tutto

“Peekaboo”: vulnerabilità critica in NUUO Network Video Recorder

19 settembre 2018

I ricercatori della società di sicurezza Tenable hanno scoperto due vulnerabilità, di cui una critica, nel software che equipaggia i prodotti della famiglia NUUO NVRmini 2.Leggi tutto