​Sütiket lop és kriptopénztárcákat támad a Mac-es kártevő

A CookieMiner Mac számítógépekről próbálja meg ellopni a böngészők sütijeit, hogy aztán megtámadja a kriptopénztárcákat.

A kártevőt a Palo Alto Network kutatói fedezték fel és írták le, még az év elején. Most azért írunk róla, mert egyrészt még mindig terjed, másrészt pedig MAC-es kártevőkről ritkábban szoktunk megemlékezni.

A CookieMiner – ahogyan azt neve is mutatja – a böngésző által tárolt cookie-kra utazik, és a következő kriptovalutával foglalkozó oldalak sütijét lopja el a Safari és a Chrome böngészőkből: Binace, Bitstamp, Bittrex, Coinbase, MyEtherWallet, Poloniex, és bármely weboldal, melynek nevében benne van a blockchain kifejezés. Miután a kártevő ellopja és összecsomagolja a felhasználó gépén tárolt sütiket, egy távoli szerverre tölti fel azokat.

És hogy miért van szükség a sütikre? Mert ezek a cookie-k tárolnak számos, a felhasználóra vonatkozó információt, amelyek segítenek a pontos azonosításban. Például, ha a hackernek megvan az adott weboldal cookie-ja, a jogos felhasználó nem értesül arról, hogy egy távoli számítógépről beléptek a felhasználói fiókjába. Ha sütik nélküli belépés történik, a védett weboldalak üzenetet küldenek a regisztrált email címre, hogy az esetleges visszaélést meg tudják akadályozni vagy második lépcsős azonosítást kérhetnek, hogy a felhasználó azonosságáról megbizonyosodjanak.

Nyilván, ahhoz, hogy a támadás sikeres legyen a felhasználónevekre, jelszavakra és e-mail címekre is szükség van – a CookieMiner ezeket az adatokat a Chrome böngészőből lopja ki, és küldi el a bűnözőknek, de ha eltárolt bankkártya adatokat találna, azt is megosztja gazdáival. A kártevő ezzel sem elégedik meg, olyan fájlokat is keres a felhasználó számítógépén, melyekről valószínűsíthető, hogy a kriptovalutákat tároló pénztárcák titkosításához használt privát kulcsot tartalmazza. Ha a fertőzött számítógépet egy iPhone adatainak mentésére és tárolására is használják, akkor az SMS üzeneteket is képes elküldeni a hackereknek. Ugyanakkor egy hátsó ajtót folyamatosan nyitva tart a fertőzött számítógépen. És hogy törvényszegő tevékenységeit megkoronázza, a kártevő segítségével a Japán hátterű Koto kriptovaluta bányászatára is használhatják a megfertőzött gépet.

Ezek a funkciók eléggé kellemetlen kártevővé teszik a CookieMiner-t, mely a DarthMiner kártevő segítségével jut el a OSX operációs rendszerű számítógépekre. Ezt pedig egy Adobe Zii nevű, megfertőzött termékkel telepítik az óvatlan felhasználók. A törvényes Adobe Zii egyébként egy nem káros szándékú program, viszont sokszor törvényszegésre használják: különböző Adobe termékeket tör fel.

Noha egy régebb felfedezett kártevőről van szó, érdemes a CookieMiner-el foglalkozni. Az Apple mindig is termékei biztonságával kérkedett, azonban rendre kiderül, hogy az OSX operációs rendszernek és a Safari böngészőnek is vannak biztonsági hibái.

Vélhetően ez a kifinomult vírus azért támadja az almás cég termékeit, mert noha a felhasználók kevesebben vannak, átlagban gazdagabb, többet költő és kriptovalutával is többet foglalkozó felhasználókról van szó. És hogyan tudunk védekezni ellene? Telepítsünk és használjunk vírusellenes megoldást, mert igen, az Apple termékek is a bűnözők célpontjává váltak.