CookieMiner è il nome di un malware individuato dagli esperti di sicurezza di Unit 42 che colpisce i terminali della Casa di Cupertino è ha lo scopo di trafugare cryptovalute. Tecnicamente si tratta dell’implementazione di un’altra minaccia denominata OSX.DarthMine modificata questa volta per infettare anche le installazioni di MacOS.
CookieMiner: come funziona
Nella fase iniziale di attacco CookieMiner si insidia all’interno dei browser Web alla ricerca dei cookie memorizzati in seguito alla navigazione su una piattaforma exchange, come per esempio Coinbase, Binance o Bitstamp. Nel contempo cerca anche di sottrarre credenziali eventualmente archiviate in Chrome e di accedere alle comunicazioni effettuate tramite iPhone e salvate nel Cloud.
Elaborando tutti questi dati i creatori del malware tentano di violare i cryptowallet delle proprie vittime, se ci riescono procedono con lo spostamento dei fondi verso un altro portafoglio virtuale. Il fatto di sfruttare i cookie di sessione permette inoltre di bypassere l’autenticazione a due fattori, simulando che l’esecuzione del login sia già avvenuta.
Un cryptominer per Koto
Dimostrando un’avidità senza fine gli attaccanti hanno deciso di danneggiare ulteriormente i terminali coinvolti installando in essi un cryptominer, quest’ultimo sfrutta le risorse fornite dal computer infettato per estrarre crytovaluta. Il tutto avviene tramite un processo in backgroud senza che l’utente possa rilevarne il funzionamento.
La moneta virtuale così minata non è il classico Bitcoin ma Koto, una cryptovaluta molto in voga in Giappone che ha la caratteristica di salvaguardare in modo quasi inviolabile l’anonimato della persona che riceve un trasferimento di denaro. Questo non significa però che gli autori del malware siano necessariamente residenti nel Paese asiatico.
