Một phần mềm độc hại mới được phát hiện đánh cắp cookie, thông tin đăng nhập và nhiều thứ khác để xâm nhập vào tài khoản trao đổi tiền điện tử của nạn nhân.
Một phần mềm độc hại mới được phát hiện đang nhắm mục tiêu cookie và thông tin đăng nhập web của người dùng Mac với hy vọng rút tiền trên tài khoản trao đổi tiền điện tử của họ.
Phần mềm độc hại, được phát hiện trong tháng này và có tên là Cookie CookieMiner, được thu thập một cách khéo léo các cookie liên quan đến tiền điện tử – ngoài các thông tin bị xâm phạm – và sử dụng chúng để nhắm mục tiêu trao đổi, nơi tiền điện tử có thể được giao dịch cho các tài sản khác, kể cả các loại tiền kỹ thuật số khác.
Sử dụng những manh mối bị đánh cắp này, những kẻ đứng sau phần mềm độc hại này có thể vượt qua mọi biện pháp bảo mật xác thực đa yếu tố và cố tình trở thành nạn nhân – với mục đích cuối cùng là rút tiền từ tài khoản của họ.
Các nhà nghiên cứu của Wap tại nhóm Đơn vị 42 của Palo Alto Networks cho biết trong một báo cáo hôm thứ Năm, các Cookie CookieMiner cố gắng điều hướng quá trình xác thực bằng cách đánh cắp sự kết hợp của thông tin đăng nhập, tin nhắn văn bản và cookie web. Nếu các hacker vào trang web thành công bằng cách sử dụng danh tính của nạn nhân, họ có thể thực hiện rút tiền. Đây có thể là một cách hiệu quả hơn để tạo ra lợi nhuận so với khai thác tiền điện tử hoàn toàn.
Cần lưu ý rằng các nhà nghiên cứu chưa thấy bằng chứng về việc tác giả phần mềm độc hại rút tiền thành công từ một tài khoản, mà thay vào đó là suy đoán dựa trên hành vi của phần mềm độc hại.
Các nhà nghiên cứu nhấn mạnh rằng ăn cắp cookie là một bước quan trọng để bỏ qua việc phát hiện bất thường đăng nhập.
Nếu một diễn viên xấu chỉ sử dụng tên người dùng và mật khẩu, trang web có thể đưa ra cảnh báo và yêu cầu xác thực bổ sung – nhưng nếu cookie xác thực cũng được cung cấp cùng với tên người dùng và mật khẩu, trang web có thể tin rằng phiên được liên kết với hệ thống được xác thực trước đó chủ nhà.
Phần mềm độc hại cookie
Cuộc tấn công CookieMiner bắt đầu bằng một tập lệnh shell nhắm vào người dùng MacOS. Các nhà nghiên cứu cho biết họ tin rằng phần mềm độc hại đã được phát triển từ OSX.DarthMiner , một tập lệnh được biết là nhắm vào nền tảng Mac kết hợp cửa sau EmPyre (một tác nhân khai thác sau Python được xây dựng trên giao tiếp bảo mật bằng mật mã và kiến trúc linh hoạt) và tiền điện tử XMRig . Tương tự như DarthMiner, những kẻ tấn công Cookieminer đã sử dụng EmPyre để kiểm soát sau khai thác, cho phép chúng gửi lệnh để điều khiển từ xa các máy của nạn nhân.
Jen Miller-Osborn, phó giám đốc Threat Intelligence cho Đơn vị 42, nói rằng các nhà nghiên cứu không chắc chắn nạn nhân bị nhiễm tập lệnh shell đầu tiên như thế nào, nhưng họ nghi ngờ nạn nhân tải xuống chương trình độc hại từ cửa hàng bên thứ ba.
Sau khi tải xuống, tập lệnh shell sẽ sao chép cookie của trình duyệt Safari vào một thư mục và tải thư mục lên máy chủ từ xa.
Các nhà nghiên cứu cho biết, cuộc tấn công nhắm vào các cookie liên quan đến trao đổi tiền điện tử bao gồm Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet và bất kỳ trang web nào có tên miền blockchain, trong tên miền của nó.
Hành vi độc hại khác
Nhưng đó không phải là tất cả: Phần mềm độc hại cũng thực hiện một loạt các chức năng độc hại khi được tải xuống trên hệ thống của nạn nhân. Điều đó bao gồm đánh cắp tên người dùng, mật khẩu và thông tin thẻ tín dụng trong Chrome, lấy các tin nhắn văn bản được đồng bộ hóa với Mac và cài đặt phần mềm coinmining để khai thác tiền điện tử.
Sau khi thu thập cookie web, phần mềm độc hại chuyển sự chú ý của nó sang thông tin xác thực của nạn nhân, có thể được thu thập để bỏ qua các phương thức xác thực bảo mật do trao đổi tiền điện tử đưa ra.
CookieMiner tải xuống một tập lệnh Python (được gọi là một cách vô hại, có thể trích xuất thông tin đăng nhập và thông tin thẻ tín dụng đã lưu trong kho lưu trữ dữ liệu cục bộ của Google Chrome. Các nhà nghiên cứu cho biết, điều này thông qua việc áp dụng các kỹ thuật giải mã và trích xuất từ mã của Google Chromium, một phiên bản nguồn mở của trình duyệt Google Chrome, các nhà nghiên cứu cho biết.
Các nhà nghiên cứu cho biết, bằng cách lạm dụng các kỹ thuật này, CookieMiner cố gắng đánh cắp thông tin thẻ tín dụng từ các tổ chức phát hành lớn, như Visa, Mastercard, American Express và Discover. Thông tin đăng nhập đã lưu của người dùng cũng bị đánh cắp, bao gồm tên người dùng, mật khẩu và các URL web tương ứng.
Cuối cùng, phần mềm độc hại đưa ra một loạt các lệnh để định cấu hình máy của nạn nhân để khai thác tiền điện tử và duy trì sự bền bỉ, bao gồm triển khai một chương trình dưới tên tệp là XM XMRig2 để khai thác tiền điện tử. Tiền điện tử được khai thác được gọi là Koto, đây là một loại tiền điện tử ẩn danh dựa trên ZCash.Ngoài ra, CookieMiner đánh cắp các khóa riêng cho ví tiền điện tử trên hệ thống và tin nhắn văn bản iPhone được sao lưu trên Mac thông qua iTunes.
Nhưng thật thú vị, tên tệp XMRig2 thường được sử dụng bởi các nhà khai thác Monero – các nhà nghiên cứu tin rằng các tác giả phần mềm độc hại có thể đã cố tình sử dụng tên tệp này để tạo sự nhầm lẫn vì công cụ khai thác thực sự đang khai thác tiền điện tử Koto.
Các nhà nghiên cứu nói rằng di chuyển về phía trước, chủ sở hữu tiền điện tử nên để mắt đến các cài đặt bảo mật và tài sản kỹ thuật số của họ để ngăn chặn sự thỏa hiệp và rò rỉ.
Phần mềm độc hại ‘CookieMiner’ nhằm mục đích giúp các tác nhân đe dọa tạo ra lợi nhuận bằng cách thu thập thông tin xác thực và khai thác tiền điện tử, họ nói. Nếu kẻ tấn công có tất cả thông tin cần thiết cho quá trình xác thực, xác thực đa yếu tố có thể bị đánh bại.