Новая вредоносная программа на Mac может украсть криптовалюты с бирж, можно ли предотвратить кражу?

Unit 42, команда мировой разведки угроз в Palo Alto Network, обнаружила вредоносное ПО Mac, которое может украсть файлы cookie, связанные с криптобиржами и кошельками.

Хотя имен пользователей и паролей недостаточно для инициирования вывода средств с криптобирж, если хакерам удастся украсть комбинацию учетных данных для входа, файлы cookie для аутентификации и данные SMS, тогда они смогут украсть средства пользователей.

Исследователи объяснили:

«CookieMiner пытается пройти процесс аутентификации путем кражи комбинации учетных данных для входа, текстовых сообщений и веб-файлов cookie. Если мошенники успешно заходят на веб-сайты, используя личность жертвы, они могут снимать средства. Это может быть более эффективным способом получения прибыли, чем прямой майнинг криптовалют»
Почему эта криптовредоносная программа опасна


В течение последних 12 месяцев было выпущено много вредоносных программ, ориентированных на криптовалюты, в основном для установки программного обеспечения для майнинга криптовалют на процессоры.

Вредоносное ПО Mac, найденное Unit 42 под названием CookieMiner, направлено на обмен цифровыми активами и кошельками пользователей.

В 2017 году компания Symantec обнаружила вредоносное ПО для ПК, которое изменяет адреса Ethereum, введенные на кошельках и биржах, для перераспределения средств.

Из-за этого жертвы отправляли средства на адрес Ethereum создателя вредоносного ПО, генерируя десятки тысяч адресов и заменяя адрес жертвы тем адресом, который напоминает его.

Но CookieMiner напрямую нацелена на пользователей криптовалютного кошелька и бирж, крадя учетные данные и вручную входя в платформы цифровых активов для вывода или перераспределения средств.

Операторам вредоносного ПО сложно остановить вход на криптовалютные биржи или кошельки жертв, как только они получают файлы cookie и SMS-данные, потому что с их помощью хакеры могут обойти двухфакторную аутентификацию (2FA).

Команда Unit 42 заявила:

«Используя комбинацию украденных учетных данных для входа, веб-файлов cookie и данных SMS, основанных на прошлых атаках, подобных этой, мы считаем, что мошенники могут обойти многофакторную аутентификацию для этих сайтов. В случае успеха злоумышленники получат полный доступ к биржевому счету и/или кошельку жертвы и смогут использовать эти средства, как если бы они были пользователями»


По состоянию на 2 февраля, о жертвах от вредоносных программ не сообщалось, но они способны украсть широкий спектр конфиденциальных данных, которые включают в себя файлы cookie браузеров Google Chrome и Apple Safari, сохраненные имена пользователей и пароли, текстовые сообщения, связанные с Mac, а также данные и ключи криптовалютного кошелька.

Если операторы вредоносного ПО получили приватный ключ или cookie-файл аутентификатора кошелька или биржи, жертвы мало что могут сделать, чтобы остановить атаку.

На кошельках, не связанных с хранением, на которых пользователи должны поддерживать свои собственные резервные данные и личные ключи, в случае кражи личных ключей практически невозможно остановить кражу.

Samsung, как сообщается, создают криптокошелек
Как сообщают местные издания Южной Кореи, в том числе Korea Herald, Samsung уже начали процесс разработки и интеграции кошелька с цифровыми активами в Galaxy S10.

Ранее на этой неделе некоторые отчеты утверждали, что Samsung Pay, флагманское приложение для цифровых платежей компании, которое используется более чем десятью миллионами пользователей по всему миру, ведет интеграцию криптокошелька.

На большинстве мобильных устройств доверенная среда выполнения (TEE), хранилище, работающее за пределами основной системы, предотвращает получение хакерами доступа к конфиденциальным данным в случае нарушения безопасности.

Таким образом, если личные ключи от кошелька или данные, связанные с криптовалютной биржей, хранятся в TEE, хакеры не могут украсть данные.

Исследователи из Unit 42 заявили, что пользователи бирж цифровых активов и кошельков должны быть более осторожными с их настройками безопасности, чтобы предотвратить утечку данных.

 

До сих пор же непонятно, как это ПО оказывается на машине - а это ключевой вопрос.

Второе - смс для 2фа пользоваться не нужно )) давно об этом известно.

 

Мне неизвестно, есть ссылка на уязвимость?

 

Что-то вроде этого... Последний абзац интересен.
До хрена статей на эту тему.

 

суть в том, что смс легко перехватить, народ подменяет/перевыпускает симки, делает дубли и как только не извращается. Лучше юзать приложения, а не смс.

 

Там есть минус, если потерять телефон или просто удалить апликуху, то все