Подразделение 42, группа глобальной разведки угроз в сети Пало-Альто, обнаружило вредоносное ПО для Mac, способное похищать cookie-файлы, связанные с крипто-обменами и кошельками.
Хотя имен пользователей и паролей может быть недостаточно для инициирования вывода средств на крипто-обменах, если хакерам удастся украсть комбинацию учетных данных для входа, веб-файлов cookie, файлов cookie для аутентификации и данных SMS, это может украсть средства пользователей.
Исследователи объяснили :
«CookieMiner пытается пройти мимо процесса аутентификации, украдя комбинацию учетных данных для входа, текстовых сообщений и веб-файлов cookie. Если злоумышленники успешно заходят на веб-сайты, используя личность жертвы, они могут осуществлять снятие средств. Это может быть более эффективным способом получения прибыли, чем прямой криптовалютный майнинг ».
ПОЧЕМУ ЭТОТ КОНКРЕТНЫЙ КРИПТО-ВРЕДОНОСНЫЙ КОД ОПАСЕН
За последние 12 месяцев было выпущено много вредоносных программ, предназначенных для криптовалюты, в основном для установки программного обеспечения для майнинга криптовалют на CPU.
Вредоносное ПО для Mac, обнаруженное модулем 42 под названием «CookieMiner», является первым, которое сосредоточено на обмене цифровыми активами и пользователях кошелька.
В 2017 году компания Symantec, специализирующаяся в области кибербезопасности, обнаружила вредоносное ПО для ПК, которое изменяет адреса Ethereum, набранные на кошельках и биржах, для перераспределения средств.
Он умело заставил жертв отправлять средства на адрес Ethereum создателя вредоносного ПО, генерируя десятки тысяч адресов и заменяя адрес жертвы тем, который похож на него.
Но CookieMiner напрямую нацелен на криптовалютный кошелек и обменивается пользователями, крадя учетные данные и вручную входя в платформы цифровых активов для снятия или перераспределения средств.
Сложно помешать операторам вредоносных программ входить в криптовалютные биржи или кошельки жертв, когда они получают Cookie-файлы аутентификатора и данные SMS, потому что с его помощью хакеры могут обойти двухфакторную аутентификацию (2FA).
Команда подразделения 42 сказала:
«Используя сочетание украденных учетных данных для входа в систему, веб-файлов cookie и данных SMS, основанных на подобных атаках в прошлом, мы считаем, что злоумышленники могли обойти многофакторную аутентификацию для этих сайтов. В случае успеха злоумышленники получат полный доступ к обменному счету жертвы или кошельку и смогут использовать эти средства так, как если бы они были самими пользователями ».
По состоянию на 2 февраля о жертвах вредоносного ПО не сообщалось, но оно способно похитить широкий спектр конфиденциальных данных, включая файлы cookie браузера Google Chrome и Apple Safari, сохраненные имена пользователей и пароли, текстовые сообщения, связанные с Mac, а также данные кошелька криптовалюты и ключи.
Если операторы вредоносного ПО получают закрытый ключ или файл cookie для проверки подлинности в кошельке или обмен, жертвы мало что могут сделать, чтобы остановить атаку.
На кошельках, не связанных с хранением, на которых пользователи должны хранить свои собственные резервные данные и закрытые ключи, в случае кражи закрытых ключей практически невозможно остановить кражу.
SAMSUNG СООБЩАЕТ, ЧТО СОЗДАНИЕ КРИПТО-КОШЕЛЬКА - ХОРОШИЙ ПЕРВЫЙ ШАГ
Samsung уже начала процесс разработки и интеграции кошелька цифровых активов в Galaxy S10.
Ранее на этой неделе говорилось о том, что Samsung Pay, флагманское приложение для цифровых платежей, которым пользуются более десяти миллионов пользователей по всему миру, возглавляет интеграцию крипто-кошелька.
На большинстве мобильных устройств Trusted Execution Environment (TEE), хранилище, которое работает за пределами базовой системы, не позволяет хакерам получить доступ к конфиденциальным данным в случае нарушения безопасности.
Таким образом, если в TEE хранятся закрытые ключи к кошельку или данные, связанные с обменом криптовалютой, хакеры не смогут украсть данные.
Исследователи из Отдела 42 говорят, что пользователи обмена цифровыми активами и кошельков должны быть более осторожными со своими настройками безопасности, чтобы предотвратить утечку данных.
