Recente malware concebido para dispositivos iOS utiliza cookie hijacking para roubar carteiras digitais

Recente malware concebido para dispositivos iOS utiliza cookie hijacking para roubar carteiras bitcoin.

Utilizadores do Mac precisam tomar cuidado com um malware recém-descoberto que tem o objetivo de roubar cookies (cookie hijack) e credenciais dos navegadores de Internet na tentativa de desviar fundos de carteiras de criptomoedas (crypto wallets).

O malware foi apelidado de CookieMiner devido à capacidade de roubar cookies relacionados a criptomoedas.

Esta peça de malware foi projetada especificamente para utilizadores Mac, e acredita-se que seja baseado no DarthMiner, outro malware Mac que foi detetado pela Malwarebytes em dezembro de 2018.

Descoberto pela equipa de segurança da Palo Alto Networks, o CookieMiner também possuí a funcionalidade de dropper — instala softwares para mineração nas máquinas infetadas para secretamente minerar criptomoedas “em nome” dos criminosos e sem concentimento da vítima (crypto-jacking).

No caso do CookieMiner, o software é aparentemente voltado para a mineração da moeda “Koto”, uma criptomoeda menos conhecida e ligada à privacidade, e que é usada principalmente no Japão.

As caraterísticas mais importantes desta nova recente ameação é a capacidade de roubar:

Os cookies do navegador Google Chrome e Apple Safari estão associados a populares trocas de criptomoedas e sites de serviço de carteira;
Nomes de usuários, palavras-passe e informações de cartão de crédito guardadas no navegador Chrome.;
Dados e chaves de carteiras de criptomoedas; e
Mensagens de texto do iPhone das vítimas armazenadas em backups do iTunes.

O CookieMiner foi identificado a atingir o Binance, Coinbase, BitGroup, Bittramp, MyEtherWallet, e qualquer website com “blockchain” e a utilizar cookies para rastrear os utilizadores durante a sua navegação no serviço.

“If only the username and password are stolen and used by a bad actor, the website may issue an alert or request additional authentication for a new login,” the researchers explained in their blog post published Thursday.
“However, if an authentication cookie is also provided along with the username and password, the website might believe the session is associated with a previously authenticated system host and not issue an alert or request additional authentication methods.”

Note-se que os investigadores ainda não detetaram qualquer evidência sobre os atacantes retiraram ou desviarem fundos das carteiras digitais das vítimas.

Este detalhe é apenas uma especulação com base no comportamento do malware.

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.