La Unit 42 di Palo Alto ha identificato CookieMiner, malware che colpisce la piattaforma Mac e ruba i browser cookie associati in particolare a cryptovalute. Questo malware si appropria anche delle password salvate in Chrome e tenta di rubare gli Sms degli iPhone da backup iTunes. Sfruttando la combinazione delle credenziali di login trafugate, i web cookie e gli Sms, Palo Alto ritiene – in base ad attacchi simili perpetrati in passato – che i malfattori potrebbero bypassare l’autenticazione multi-fattore di questi siti. Se ci riescono, avrebbero accesso completo al conto e/o wallet della vittima ed essere in grado di impiegare i fondi.
Il malware configura inoltre il sistema affinché carichi il software di coinmining. Sviluppato per sembrare un coinminer di tipo XMRIG, utilizzato nel caso di Monero, in realtà mina Koto, criptovaluta meno nota associata al Giappone. Per via del modo in cui questo malware attacca i cookie associati agli scambi, è stato denominato anche “CookieMiner”.
I web cookie vengono comunemente utilizzati per l’autenticazione. Una volta che l’utente effettua il log in su un sito, i cookie vengono archiviati affinché il web server conosca lo stato di login. Se i cookie vengono trafugati, il cybercriminale può potenzialmente fare il sign in e utilizzare l’account della vittima. Il furto di cookie rappresenta un modo intelligente di bypassare il sistema che identifica le anomalie di login. Se solo username e password vengono rubati, il sito potrebbe inviare un alert o richiedere ulteriori autenticazioni per un nuovo login. Tuttavia, se viene fornito anche l’authentication cookie insieme a username e password, il sito potrebbe pensare che la sessione sia associata a un sistema già autenticato e di conseguenza non intervenire.
Con CookieMiner i malviventi possono appropriarsi dei fondi della vittima, generando profitti in un modo molto più efficace che con il semplice cryptocurrency mining. Possono inoltre manipolare I prezzi delle criptovalute attraverso l’acquisto/vendita di grandi quantità di asset rubati, ottenendo guadagni ancora più elevati.
