Nový malware pro macOS krade cookies a hesla z prohlížeče

Čas od času se objeví malware i pro jinak bezpečnou platformu macOS. Bezpečnostní specialisté objevili nový druh zaměřený na cookies a hesla uložená v prohlížeči.
Malware také přezdívaný „CookieMiner“ objevili bezpečnostní inženýři společnosti Palo Alto Networks Unit 42. Tento škodlivý program cílí primárně na webový prohlížeč a v něm uložené cookies a hesla.

To však není vše. Takto ukradené údaje poté prohledává a snaží se najít přístupy do peněženek a burz na kryptoměny jako jsou Coinbase, Binance, Poloniex, Bittrex, Bitstamp a mnohé další. A pokud malware nenajde co hledá, na oplátku provede neplechu s napadeným počítačem.

Dle analýzy Unit 42 je CookieMiner založený na známém OSX.DarthMineru, který napadal Macy po celém světě v průběhu uplynulých let. Využívá ale jiných cest k cíli a obsahuje i pojistku, pokud nenajde dané údaje.

CookieMiner se prvně snaží ukrást hesla uložená v prohlížeči Google Chrome a Safari. U prohlížeče Applu má však smůlu, pokud dotyčný využívá klíčenku. I přesto se na libovolnou službu dokáže nakonec dostat, pokud jste již například přihlášeni. To se mu podaří díky ukradení cookies, které často ukládají řetězce autentifikace – tedy že jste přihlášení.

Mazat cookies a přihlašovací SMS

Následně se snaží projít veškeré zálohy iPhonů v iTunes a zde hledá SMS zprávy. Primárně se zaměřuje na ty, které obsahují přihlašovací kódy ke službám. Většinou však zálohy obsahují starší anebo vypršené kódy, i tak ale získá CookieMiner slušný přehled o tom, kterou službu používáte.

Poslední aktivitou, kterou CookieMiner záškodnicky provádí je instalace skriptu, který využívá výkonu Macu k těžbě kryptoměny zvané „Koto“. Jde o novou Japonskou kryptoměnu, která teprve začíná a je tedy těžké vystopovat, kam je odesílán vytěžený kód.

Inženýři z Unit 42 radí, aby uživatelé byli obezřetní a neinstalovali neznámý software. Rovněž by si měli dávat pozor na skripty webových stránek žádající o heslo. Ideální je také pravidelně mazat cache webového prohlížeče včetně cookies před používáním citlivých služeb jakou jsou internetové bankovnictví anebo kryptobanky. V neposlední řadě se doporučuje mazat staré SMS s přístupovými kódy na webové služby.

Zdroj: TNW

Petr Škuta

Od roku 2009 působím jako redaktor a editor. Ve stejné době jsem rovněž začal používat svůj první MacBook a začal se specializovat na produkty Apple. V minulosti jsem se věnoval kariéře pedagoga, avšak můj zájem o IT vyrostl z koníčku v hlavní pracovní náplň. Nyní se kromě psaní věnuji také konzultacím, poradenství a hlavně školení nejen produktů značky Apple.

banner