新Mac恶意软件的目标是从加密货币钱包中窃取cookie

Mac用户需要提防一个新发现的恶意软件，它窃取了他们的网络浏览器cookie和凭据，试图从他们的加密货币兑换账户中提取资金。

库克矿工由于能够窃取与加密货币交换有关的cookie，该恶意软件专门针对Mac用户设计，据信是基于去年12月检测到的另一个Mac恶意软件DarthMiner。

由Palo Alto Networks的第42单元安全研究团队发现，CookieMiner还秘密在受感染的Mac电脑上安装硬币挖掘软件，通过消耗目标Mac电脑的系统资源，秘密挖掘额外的加密货币。

在CookieMiner的例子中，该软件显然是为了挖掘“Koto”，这是一种鲜为人知的、以隐私为导向的加密货币，主要用于日本。

然而，新Mac恶意软件最有趣的功能是窃取：

• Google Chrome和Apple Safari浏览器cookies都与流行的加密货币交易所和钱包服务网站相关。
• Chrome浏览器中保存的用户名、密码和信用卡信息。
• 加密货币钱包数据和密钥。
• iPhone的受害者短信存储在iTunes备份中。

当谈到有针对性的加密货币交易和钱包服务时，CookieMiner被发现针对Binance、Coinbase、Poloniex、Bittrex、Bitstamp、MyEtherWallet以及任何在其域中具有“区块链”的网站，并使用cookie临时跟踪其用户。

通过利用被盗的登录凭据、web cookie和SMS数据的组合，攻击者甚至可以绕过exchange站点的双因素身份验证，从受害者的帐户和钱包中窃取加密货币。

研究人员在周四发布的博客文章中解释说：“如果只有用户名和密码被盗，并被坏人使用，网站可能会发出警报或要求对新登录进行额外验证。”。

“但是，如果还提供了身份验证cookie以及用户名和密码，则网站可能会认为该会话与以前经过身份验证的系统主机关联，而不会发出警报或请求其他身份验证方法。”

需要注意的是，研究人员尚未发现任何证据表明攻击者成功地从任何用户的钱包或账户中提取资金，但他们是根据恶意软件的行为进行猜测的。

另外CookieMiner还使用EmPyre后门进行攻击后控制，允许攻击者向受感染的Mac计算机发送命令进行远程控制。

EmPyre是一个Python攻击后代理，它会检查小飞贼应用程序防火墙是否在受害者的机器上运行，如果找到，它会停止并退出。该代理还可以配置为下载其他文件。

虽然目前尚不清楚CookieMiner恶意软件最初是如何被推送到受害者手中的，但据信，用户被诱骗将受污染的软件下载到他们的机器上，从而交付恶意软件。

Palo Alto Networks已经联系了目标加密货币交易所和钱包服务，以及苹果和谷歌，并报告了这一问题。

由于研究人员认为CookieMiner活动仍然活跃，防止成为此类恶意软件攻击的受害者的最佳方法是避免在网络浏览器中保存您的凭据或信用卡信息，更不用说避免从第三方平台下载应用程序。

你也应该考虑在访问银行或金融账户时清理你的饼干，并且“关注他们的安全设置和数字资产，以防止妥协和泄露”，研究人员建议。