Un nuovo malware sta prendendo di mira, negli ultimi giorni, gli utenti Mac: si chiama CookieMiner e a scoprirlo sono stati gli analisti della Unit 42 di Palo Alto Network secondo i quali si tratta di una variante del pericoloso OSX.DarthMine che sul finire dello scorso anno ha già fatto parecchi danni sui computer con sistema operativo MacOS.
Il nome che i criminal hacker hanno dato al nuovo malware non è stato scelto a caso: CookieMiner, infatti, è in grado di rubare i cookie memorizzati nei browser e associati ai principali siti per lo scambio di cryptovalute e di servizi wallet visitati dalle vittime. Il malware, inoltre, è in grado di rubare anche le password di accesso a questi siti memorizzate in Chrome e tenta di rubare gli SMS degli iPhone dai backup di iTunes archiviati sui Mac infetti.
Più nel dettaglio, la catena infettiva del malware prevede i seguenti passaggi:
- rubare i cookie di Google Chrome e di Apple Safari dalla macchina della vittima;
- rubare i nomi utente e le password salvate in Chrome;
- rubare le credenziali della carta di credito salvate in Chrome;
- rubare i messaggi di testo dell’iPhone se eseguito il backup su Mac;
- rubare i dati e le chiavi del portafoglio valuta criptato;
- mantenere il pieno controllo della macchina vittima utilizzando la backdoor EmPyre;
- minare criptocurrency sulla macchina della vittima.
Indice degli argomenti
CookiMiner, il malware che “buca” l’autenticazione a due fattori
Le prime cinque operazioni compiute da CookieMiner gli consentono di sfruttare la combinazione delle credenziali di login trafugate, i cookie e gli SMS per bypassare l’autenticazione multi-fattore dei siti e dei servizi per lo scambio di criptovalute. In caso di riuscita di questa sofisticata azione malevola, i criminal hacker che controllano CookieMiner riescono ad ottenere accesso completo al conto e al wallet della vittima.
In particolare, CookieMiner concentra le sue attenzioni sui cookie che vengono comunemente utilizzati per l’autenticazione ai vari servizi online tra cui quelli per lo scambio di criptovalute. Una volta che l’utente effettua il login su un sito, i cookie vengono archiviati affinché il web server conosca lo stato di accesso. Se i cookie vengono trafugati, il malvivente può potenzialmente completare l’operazione di signin e utilizzare l’account della vittima.
Di fatto, quindi, il furto di cookie rappresenta un modo intelligente e sofisticato di bypassare il sistema che identifica le anomalie di login. Se vengono rubati solo username e password, il sito potrebbe inviare un alert o richiedere ulteriori autenticazioni per un nuovo login. Tuttavia, se viene fornito anche l’authentication cookie insieme a username e password, il sito potrebbe pensare che la sessione sia associata a un sistema già autenticato e di conseguenza non intervenire.
Con CookieMiner i malviventi possono quindi appropriarsi dei fondi della vittima, generando profitti in un modo molto più efficace che con il semplice cryptocurrency mining. Possono inoltre manipolare i prezzi delle criptovalute attraverso l’acquisto e la vendita di grandi quantità di asset rubati, ottenendo guadagni ancora più elevati.
Per completare la sua opera malevola, il malware configura il sistema affinché esegua un tool di coin mining che solo all’apparenza assomiglia al famoso XMRIG utilizzato per minare Monero; in realtà mina Koto, una criptovaluta meno nota diffusa soprattutto in Giappone.
Analisi tecnica dell’attacco di CookieMiner
La catena infettiva di CookieMiner inizia con l’esecuzione di uno script di shell per MacOS che gli consente di copiare i cookie del browser Safari in una cartella creata per l’occasione e successivamente per caricarli su un server remoto (46.226.108[.]171:8000).
Da un’analisi più approfondita si scopre che il server ospita il servizio curldrop (https://github[.]com/kennell/curldrop) che permette agli utenti di caricare file mediante il comando curl. L’attacco risulta quindi mirato ai cookie associati a servizi di scambio di valute criptate che includono Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet; ma anche a quelli di sito web che abbia la stringa “blockchain” nel suo nome di dominio, come ad esempio wwww.blockchain[.]com.
Il codice dello script shell per il furto dei cookie.
CookieMiner scarica quindi lo script Python harmlesslittlecode.py che usa per estrarre le credenziali di accesso salvate e le informazioni della carta di credito dalla memoria dati locale di Chrome. Adotta quindi alcune tecniche sviluppate per il progetto Google Chromium (una versione open source di Chrome) per compiere operazioni di decrittazione ed estrazione di informazioni riservate dell’utente.
Abusando di queste tecniche, in particolare, CookieMiner tenta di rubare i dati delle carte di credito dei principali operatori come Visa, Mastercard, American Express e Discover. Riesce inoltre a rubare anche le credenziali di accesso salvate dell’utente, compresi i nomi utente, le password e gli URL dei servizi web corrispondenti.
Il codice malevolo utilizzato da CookieMiner per il furto dei dati delle carte di credito delle vittime.
Infine, CookieMiner comunica tutti i percorsi dei file relativi al portafoglio di criptovalute al suo server remoto in modo che possa successivamente caricare i file secondo i comandi C2 impartiti dai criminal hacker. Questi file di solito includono le chiavi private dei portafogli di valuta criptata. Inoltre, se le vittime usano iTunes per eseguire il backup dei file da iPhone a Mac (che può avvenire anche via Wi-Fi), allora i creatori di CookieMiner riescono a trafugare anche i loro messaggi di testo iPhone (SMSFILE).
I consigli degli analisti per difendersi da CookieMiner
Per combattere questi nuovi attacchi di cryptojacking è opportuno adottare una strategia di difesa basata sull’innalzamento del livello di difesa a livello applicativo, utilizzando proxy delle connessioni, ispezionando il traffico di rete e analizzando eventuali schemi malevoli di funzionamento dei processi in esecuzione nell’endpoint. Secondo Fabrizio Croce, Area Director South Europe WatchGuard Technologies, è opportuno utilizzare una “tecnologia di sandboxing in cloud in cui esplodere il codice sospetto e verificarne il comportamento in dettaglio”.
“Tutte le nostre analisi”, continua Croce, “portano al rilevo di come giorno dopo giorno questi attacchi mirati alle criptovalute stiano diventando sempre più subdoli anche verso sistemi fino a ora, ingiustamente, ritenuti immuni come Apple e Linux. È quindi necessario approntare delle difese multilivello che correlino traffico di rete, sicurezza perimetrale, machine learning ed utilizzo delle risorse nell’endpoint per avere un quadro credibile dell’eventuale minaccia informatica in atto, purtroppo sempre meno rilevabili da sistemi di sicurezza standard basati su firme statiche”.
Lo stesso Croce sottolinea, inoltre, come “un dato in più è come questo particolare malware tenti di aggirare i sistemi di autenticazione multifattore basati su invio di SMS o OTP via Email. Una dimostrazione che attesta ancora di più come solo i nuovi sistemi basati su certificati nel cloud e sicurezza multifattore, che includano biometria e DNA del dispositivo mobile, siano un ulteriore elemento di rafforzamento imprescindibile di sicurezza”.
Un utile consiglio arriva anche da Giorgio Di Grazia, Solution Sales Engineer F-Secure Italia: “è necessario aggiornare le soluzioni antivirus utilizzate ed evitare di memorizzare nei web browser informazioni riservate quali le credenziali di accesso. Un buon password manager è in questi casi la soluzione migliore. Altra buona norma è quella di utilizzare i web browser in modalità “incognito” (Google Chrome offre questa possibilità) per l’accesso ai portali finanziari, al fine di non salvare i cookie al termine della navigazione. In caso contrario, è consigliabile rimuovere manualmente i cookie dopo essersi scollegati dal portale”.
Infine, un consiglio pratico che è più una pratica di buona condotta valida in generale e non solo davanti a minacce tipo CookieMiner, è quello di modificare spesso le credenziali di accesso ai servizi di scambio di criptovalute ed evitare di archiviare i messaggi del proprio iPhone sul Mac utilizzato per il mining e lo scambio di monete criptate.
