Este malware tem como alvo os cookies do browser associados a trocas de criptomoedas e websites de wallet service.
Estas trocas de criptomoedas sao direcionadas a serviços como o Binance, Coinbase, Poloniex, Bittrex, Bitstamp e MyEtherWallet. O malware vai roubar cookies de qualquer website que tenha "blockchain" como nome de domínio.
Como funciona?
Aproveita-se de um script de python “harmlesslittlecode.py.” para roubar credenciais de login guardadas e informação de cartões de crédito do Chrome.
Tem por base o malware OSX.DarthMiner, sendo capaz de roubar cookies do Chrome e Safari, além de informação sensível como credenciais de utilizador, mensagens de texto do iPhone a partir de backups e chaves de carteiras de criptomoedas.
O objetivo dos atacantes é retirar o dinheiro dessas carteiras a partir da combinação de credenciais roubadas, cookies do browser e dados das mensagens (SMS).
Os atacantes são capazes de ultrapassar o mecanismo de segurança na autenticação para sites. Este malware configura os sites comprometidos para que carreguem software de cryptomining que se assemelha ao XMRIG-type, e que minera o Koto, uma criptomoeda menos popular baseada no Japão.
Como um agente de pós exploitation, usa o backdoor EmPyre e verifica se a firewall Little Snitch corre no alvo e aborta a instalação caso se verifique a mesma.
Mais informações aqui: https://thenextweb.com/hardfork/2019/01/31/macos-malware-cookies-swipe-cryptocurrency/