Nieuwe macOS-malware gebruikt cookies om cryptovaluta te stelen

Veiligheidsonderzoekers van Palo Alto Networks’ Unit 42 hebben een nieuw type malware ontdekt dat ontwikkeld is om cryptovaluta te stelen. CookieMiner richt zich specifiek op MacBooks en de cookies die verbonden zijn aan hun inloggegevens voor cryptobeurzen als Binance, Bitstamp, Bittrex en Coinbase.

De nieuwe malware werd ontdekt nadat de onderzoekers keken naar de beruchte OSX.DarthMiner, die vorig jaar ontdekt werd. “We raakten geïnteresseerd omdat het een nieuwe variant is met aanvullende functionaliteit”, laat onderzoeker Jen Miller-Osburn aan Hard Fork weten.

Inloggegevens stelen

De malware richt zich specifiek op de inloggegevens van de diverse cryptobeurzen. Tegelijk probeert CookieMiner ook wachtwoorden te stelen die opgeslagen staan in Chrome, evenals tekstberichten die opgeslagen staan in iTunes-backups. Als de aanvallers die informatie bemachtigd hebben, kunnen ze vrij eenvoudig cryptovaluta stelen van de account van slachtoffers.

Het stelen van alleen de inloggegevens van gebruikers van cryptobeurzen is niet voldoende. Veel van hen hebben immers 2FA ingeschakeld staan. Maar als een hacker ook de authentication cookies in handen heeft, dan kunnen de hackers doen alsof de sessie reeds bevestigd is. De site denkt dan immers dat de gebruiker al bevestigd is.

De malware is volgens Miller-Osborn een type aanval dat gebruik maakt van oude malwareaanvallen om nu in het tijdperk van cryptovaluta ook succes te boeken. “Er zijn heel wat coinminers en andere malware en het misbruik van credentials en cookies die opgeslagen staan in de browser is niets nieuws”, aldus Miller-Osborn. “Aanvallers die hier gebruik van maken om toegang te krijgen tot cryptobeurzen en tegelijk proberen beschermingsmaatregelen te omzeilen is echter nieuwer.”

Japanse cryptovaluta minen

Maar het stelen van inloggegevens en cookies is niet alles. De malware installeert ook een miner op het systeem van het slachtoffer. Het gaat om de XMRIG-coinminer die gewoonlijk gericht is op het genereren van monero. In dit geval richt de miner zich echter op de Japanse cryptovaluta kolo. Toch is er volgens Miller-Osburn “niet genoeg data om degene die hierachter zit of waar deze zich bevindt aan te wijzen.”

Miller-Osborn raadt mensen af om inloggegevens voor cryptobeurzen op te slaan in hun browser. “Mensen moeten regelmatig het cache van hun browser wissen, vooral als ze ingelogd hebben op een  financieel of ander gevoelig account. Dat is snel gedaan en zorgt ervoor dat data niet in webbrowsers opgeslagen staan.”