macOS, un nuovo virus prende di mira i cookie

Un teenager tedesco trova una falla in macOS Mojave

I ricercatori di sicurezza di Palo Alto Networks hanno identificato un nuovo malware per macOS che mira a rubare le criptovalute sfruttando i cookie

È stato soprannominato “CookieMiner” ed è un virus che punta specificatamente gli utenti Mac. I ricercatori dell’Unità 42 di Palo Alto Networks lo hanno scoperto all’interno di alcune operazioni di scouting, analizzandolo e spiegando per bene di cosa si tratta. Nella pratica, la minaccia mira a rubare le credenziali di accesso alle piattaforme di gestione e memorizzazione delle criptovalute, frugando nei cookie dei computer e tra i servizi crittografati e non, sia che utilizzino o meno forme di sicurezza avanzata. L’agenzia ha dunque individuato CookieMiner come stratagemma per colpire soprattutto i portafogli di Coinbase, Binance, Poloniex, Bittrex, Bitstamp e MyEtherWallet ma non è detto che la lista si fermi qui.

Il nuovo malware è stato scovato dopo aver esaminato il famigerato OSX.DarthMiner, emerso alla fine dello scorso anno. “Ha suscitato il nostro interesse poiché si trattava di una nuova variante con funzionalità aggiuntive” – ha dichiarato Jen Miller-Osborn, vicedirettore delle informazioni sulle minacce presso l’Unità 42. Per non farsi mancare nulla, CookieMiner si pone scopi ulteriori, come il furto delle password salvate in Chrome e dei messaggi di testo archiviati nei backup di iTunes.

Cosa succede

Quando tutte queste informazioni sono nelle mani degli aggressori, è abbastanza facile rubare le criptovalute dai conti di scambio. Avere le credenziali di accesso, di solito, non è sufficiente per entrare negli account altrui ma solo per chi ha attivato procedure del tipo la verifica a due fattori. Il fatto è che anche in quel caso, con i cookie di autenticazione, un terzo potrebbe valicare il muro della difesa informatica, facendo credere al sistema di star utilizzando la stessa sessione di navigazione precedente, dove appunto vi era già stato un ingresso andato a buon fine.

Ma non è tutto: il malware installa anche un software di coin-mining, che usa il sistema della vittima per estrarre la criptovaluta senza che nessuno si accorga di nulla. Il programma, almeno in superficie, assume una forma simile al minatore delle monete XMRIG che di solito estrae Monero. Ma in questo caso, l’app è configurata per estrarre Koto, una piccola criptovaluta giapponese, scelta probabilmente perché è privata e ancora poco nota. C’è un modo per evitare che tutto ciò accada?

Per Palo Alto Networks si: evitare di memorizzare le credenziali di accesso più sensibili nei browser, perché questi si stanno trasformando rapidamente in vettori di attacco comuni per malware del genere. Si dovrebbe anche cancellare regolarmente le cache di navigazione, in particolare dopo aver effettuato l’accesso a conti finanziari e piattaforma di credito, per non lasciare tracce percorribili da terzi.

Leggi anche:  Security Summit 2018, appuntamento il 6 e 7 giugno a Roma