Nuevo Malware en MAC busca vaciar tus billeteras de Criptomonedas

Los usuarios de Mac deben tener cuidado con una pieza de malware recién descubierta que roba las cookies y credenciales de su navegador web en un intento de retirar fondos de sus cuentas de sitios de intercambio de criptomonedas.

Apodado CookieMiner, tiene la capacidad de robar cookies relacionadas con sitios de intercambio de criptomonedas, Adicionalmente se cree que el malware ha sido diseñado específicamente para usuarios de Mac y que se basa en DarthMiner, otro malware de Mac que se detectó en diciembre del año pasado.

Descubierto por el equipo de investigación de seguridad Unit 42 de Palo Alto Networks, CookieMiner también instala de forma encubierta el software de extracción de monedas en las máquinas Mac infectadas para extraer secretamente una criptomoneda adicional al consumir los recursos del sistema de la Mac objetivo.

En el caso de CookieMiner, el software aparentemente está orientado a la minería de "Koto", una criptomoneda menos conocida y orientada a la privacidad que se usa principalmente en Japón.
Sin embargo, la capacidad más interesante del nuevo malware de Mac es robar:


  • Las cookies de los navegadores Google Chrome y Apple Safari se asocian con los intercambios populares de criptomonedas y los sitios web de servicios de billetera.
  • Los nombres de usuario, las contraseñas y la información de la tarjeta de crédito se guardan en el navegador web Chrome.
  • Criptomoneda con billetera de datos y llaves.
  • Mensajes de texto de las víctimas del iPhone almacenados en las copias de seguridad de iTunes.





Al hablar de los intercambios de criptomonedas y los servicios de cartera, se encontró a CookieMiner apuntando a Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet y cualquier sitio web con "blockchain" en su dominio y utilizando cookies para rastrear a sus usuarios temporalmente.

Al aprovechar la combinación de credenciales de inicio de sesión, cookies web y datos SMS robados, es posible que un atacante incluso omita la autenticación de dos factores para intercambiar sitios y robar criptomonedas de las cuentas y billeteras de la víctima.

"Si solo el nombre de usuario y la contraseña son robados y utilizados por un mal actor, el sitio web puede emitir una alerta o solicitar una autenticación adicional para un nuevo inicio de sesión", explicaron los investigadores en su blog publicado el jueves.

"Sin embargo, si también se proporciona una cookie de autenticación junto con el nombre de usuario y la contraseña, el sitio web puede creer que la sesión está asociada con un host del sistema previamente autenticado y no emitir una alerta ni solicitar métodos de autenticación adicionales". Cabe señalar que los investigadores aún no han encontrado ninguna evidencia de que los atacantes hayan retirado fondos de la billetera o cuenta de cualquier usuario, pero están especulando sobre el comportamiento del malware.