根据Palo Alto Networks第42单元发布的最新分析,CookieMiner恶意软件专门用于窃取Mac平台上各种虚拟货币交换的数据。当然,窃取的数据主要是用户窃取虚拟货币的各种关键数据,但是用户是否被盗仍是未知数。但是,Mac计算机和虚拟货币交易的用户应该保持警惕,并且这种攻击可能会绕过多因素身份验证。
与使用键盘记录程序窃取帐户密码的许多恶意软件不同,新发现的恶意软件主要是窃取用户cookie数据。登录到每个虚拟货币交换后,用户将在本地保留cookie数据。在黑客获取数据后,他可以直接登录到每个交换机。也就是说,你可以绕过交换账户密码登录甚至谷歌2步验证等。这种攻击对用户来说是相对有害的。
CookieMiner行为的概述(在以下部分中有更详细的讨论):
- 窃取受害者计算机上的Google Chrome和Apple Safari浏览器Cookie
- 窃取在Chrome中保存的用户名和密码
- 窃取在Chrome中保存的信用卡凭据
- 如果备份到Mac,则会窃取iPhone的短信
- 窃取加密货币钱包数据和密钥
- 使用EmPyre后门保持对受害者的完全控制
- 在受害者的机器上开采加密货币
这种基于Mac的恶意软件还将安装采矿软件以获取最大利润,但该采矿软件主要采用名为Koto的虚拟货币。虚拟货币Koto的受欢迎程度相对较低,主要仅在日本使用,因此不清楚其背后的攻击者是否是日本黑客。从感染规模来看,感染此恶意软件的用户并不多,但仍需要提醒Mac用户注意恶意软件攻击。