Nový malware pro macOS krade cookies a hesla z prohlížeče
Čas od času se objeví malware i pro jinak bezpečnou platformu macOS. Bezpečnostní specialisté objevili nový druh zaměřený na cookies a hesla uložená v prohlížeči.
Malware také přezdívaný „CookieMiner“ objevili bezpečnostní inženýři společnosti Palo Alto Networks Unit 42. Tento škodlivý program cílí primárně na webový prohlížeč a v něm uložené cookies a hesla.
To však není vše. Takto ukradené údaje poté prohledává a snaží se najít přístupy do peněženek a burz na kryptoměny jako jsou Coinbase, Binance, Poloniex, Bittrex, Bitstamp a mnohé další. A pokud malware nenajde co hledá, na oplátku provede neplechu s napadeným počítačem.
Dle analýzy Unit 42 je CookieMiner založený na známém OSX.DarthMineru, který napadal Macy po celém světě v průběhu uplynulých let. Využívá ale jiných cest k cíli a obsahuje i pojistku, pokud nenajde dané údaje.
CookieMiner se prvně snaží ukrást hesla uložená v prohlížeči Google Chrome a Safari. U prohlížeče Applu má však smůlu, pokud dotyčný využívá klíčenku. I přesto se na libovolnou službu dokáže nakonec dostat, pokud jste již například přihlášeni. To se mu podaří díky ukradení cookies, které často ukládají řetězce autentifikace – tedy že jste přihlášení.
Mazat cookies a přihlašovací SMS
Následně se snaží projít veškeré zálohy iPhonů v iTunes a zde hledá SMS zprávy. Primárně se zaměřuje na ty, které obsahují přihlašovací kódy ke službám. Většinou však zálohy obsahují starší anebo vypršené kódy, i tak ale získá CookieMiner slušný přehled o tom, kterou službu používáte.
Poslední aktivitou, kterou CookieMiner záškodnicky provádí je instalace skriptu, který využívá výkonu Macu k těžbě kryptoměny zvané „Koto“. Jde o novou Japonskou kryptoměnu, která teprve začíná a je tedy těžké vystopovat, kam je odesílán vytěžený kód.
Inženýři z Unit 42 radí, aby uživatelé byli obezřetní a neinstalovali neznámý software. Rovněž by si měli dávat pozor na skripty webových stránek žádající o heslo. Ideální je také pravidelně mazat cache webového prohlížeče včetně cookies před používáním citlivých služeb jakou jsou internetové bankovnictví anebo kryptobanky. V neposlední řadě se doporučuje mazat staré SMS s přístupovými kódy na webové služby.
Zdroj: TNW