Una nuova tipologia di codice malevolo minaccia gli utenti Mac: il malware è stato battezzato CookieMiner dai ricercatori del team Unit 42 che lo hanno scoperto. Un nome non scelto a caso, in considerazione delle modalità attraverso le quali mette a rischio le informazioni e i portafogli delle vittime.
CookieMiner: cookie e criptovalute
Si tratta di una variante di quell’OSX.DarthMine avvistato sui computer con sistema macOS nell’ultima parte dello scorso anno, modificato con l’aggiunta di alcune nuove funzionalità studiate per meglio colpire i bersagli. La sua principale attività è quella di sbirciare tra i cookie salvati dal browser di navigazione cercando quelli relativi ad alcuni dei più noti e utilizzati exchange per le criptovalute come Coinbase, Binance, Poloniex, Bittrex, Bitstamp e MyEtherWallet. Tenta inoltre di sottrarre le password salvate in Chrome e i backup dei messaggi inviati o ricevuti per mezzo di un iPhone caricati su server cloud.
Disponendo di nome utente, password, SMS e cookie, i malintenzionati sono così in grado di accedere senza troppe difficoltà ai wallet dei malcapitati e spostare i fondi gestiti in monete virtuali come Bitcoin, Ethereum e così via. Di norma la sola accoppiata nome utente-password non è sufficiente per portare a termine con successo il login, almeno per coloro che hanno abilitato l’autenticazione a due fattori, ma essendo in possesso del cookie creato dal browser il servizio può essere ingannato simulando di aver già effettuato l’accesso in precedenza e non ottenendo in risposta la richiesta di ulteriori prove per verificare la paternità dell’account.
Malware e miner per Koto
Non è tutto: il malware installa inoltre nel computer della vittima un miner, un software che lavora in modo silente e in background per produrre valore sotto forma di criptovaluta. Ovviamente i proventi di questo impegno non finiscono nelle tasche degli utenti colpiti, ma vengono indirizzati a un wallet i cui proprietari rimangono all’oscuro.
Per questa ragione la moneta scelta è Koto, una crypto scambiata prevalentemente all’interno del territorio giapponese e basata su un protocollo che rende pressoché impossibile identificare i destinatari delle transazioni, anziché Monero come avviene con altri software malevoli dal funzionamento simile. La scelta potrebbe essere stata effettuata anche al fine di depistare i ricercatori o le indagini indirizzando l’attenzione verso il paese del Sol Levante.