Seguridad informática

Detectado CookieMiner, nuevo malware para Mac

El equipo de investigación de la Unidad 42 de Palo Alto Networks ha descubierto una nuevo malware para Mac. Diseñada para robar cookies del navegador y credenciales, este sería un intento de retirar fondos de las cuentas de intercambio de criptomonedas.

CookieMiner: Un nuevo malware para Mac

Llamado CookieMiner por su capacidad de robar cookies relacionadas con los intercambios de criptomonedas, el malware ha sido específicamente diseñado para apuntar a los usuarios de Mac. Los investigadores creen que ha sido basado en DarthMiner, otro malware de Mac detectado en diciembre de 2018.

Peligros adicionales

CookieMiner también instala secretamente software de minado de monedas, para conseguir que los Mac infectados proporcionen criptomonedas adicionales. En el caso de CookieMiner, esta aparentemente diseñado para minar «Koto«. Esta es una criptomoneda menos conocida y orientada a la seguridad usada principalmente en Japón.

Aun así, las capacidades mas interesantes del nuevo malware es robar:

Cookies de los navegadores Chrome y Safari asociadas a los servicios web mas populares de intercambios y cartera de criptomonedas.
Nombres de usuario, contraseñas e información de tarjetas de crédito guardadas en el navegador Chrome.
Datos y claves de las carteras de criptomonedas.
Copias de seguridad en iTunes de SMS de iPhone de la victima.

Se ha descubierto que CookieMiner apunta a Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet y cualquier web con «blockchain» en el dominio, y que además use cookies para rastrear temporalmente a sus usuarios.

Como gana acceso

Usando la combinación de credenciales robadas, cookies web y SMS seria posible para un atacante saltarse incluso las autenticaciones de 2 pasos.

También hay que anotar que todavía no hay evidencias de que los atacantes hayan robado con éxito ningún fondo, pero están especulando en base al comportamiento observado.

Riesgos y precauciones

Además, CookieMiner también usa el backdoor EmPyre para control post-explotación, permitiendo a los atacantes tomar remotamente el control del sistema Mac.

EmPyre es un agente Python que comprueba si la aplicación Little Snitch esta activa, en cuyo caso, se detiene y sale. Los atacantes también pueden configurar este agente para descargar archivos adicionales.

Aunque aun no esta clara la vía de infección, se cree que el vector es una descarga de software con la que engaña a los usuarios.

Palo Alto Networks ya ha contactado con Google, Apple y los servicios de criptomonedas objetivo para avisar del problema.

[irp]

Recomendaciones

Ya que se cree que la campaña sigue activa, la mejor manera de prevenir es evitar guardar tus credenciales o información de tarjeta de crédito dentro de las aplicaciones web. Y por supuesto, no descargar aplicaciones de terceros.

Además, recomendamos limpiar cookies cuando visites servicios financieros o bancarios y mantenerse atento a sus configuraciones de seguridad.

Siguiente Nintendo estaría trabajando en una Switch más pequeña »

Anterior « Ring Stick Up Cam Wired: Nueva cámara de seguridad con Alexa

⁠Qué hacer si uno de tus AirPods deja de funcionar: soluciones prácticas

Los AirPods se han convertido en uno de los dispositivos más populares gracias a su…

59 mins atrás

Tarjetas gráficas

Radeon «UDNA» estará fabricado con un nodo N3E de TSMC, volverán las GPUs de gama alta

La arquitectura UDNA de próxima generación de AMD está en preparación para suceder a la…

1 hora atrás

Audio y multimedia

⁠Cómo optimizar la calidad de sonido en tus grabaciones de voz con un iPhone

Las grabaciones de voz se han convertido en una herramienta fundamental para profesionales, creadores de…

2 horas atrás