Palo Alto NetworksのUnit 42は、Macプラットフォームを標的とすることが知られている「OSX.DarthMiner」から派生したと思われるマルウェアを最近発見したと報じています。(2019/1/31発表)
このマルウェアは、感染者が訪れた暗号通貨取引所やウォレットサービスのウェブサイトに関連するブラウザのクッキーを盗みます。
Chromeに保存されたパスワードも盗みます。
その後、ネットワークで接続されたMac上のiTunesのバックアップからiPhoneのテキストメッセージを盗みます。
すなわち、過去に保存された情報(ログイン認証情報、Web Cookie、およびSMSデータなど)を盗み取り、それらの組み合わせを利用することで、悪意のあるハッカーがこれらのサイトの多要素認証を回避できると考られます。
成功した場合、攻撃者は被害者の取引所アカウントや、ウォレットへのフルアクセス権を持ち、それらが自分自身であるかのようにこれらの資金を転送する可能性があります。
また、マルウェアはシステムにマイニングソフトをダウンロードします。これは、「Monero」をマイニングするために使用される「XMRig」タイプのマイニングツールで作られています。
また日本製の「Koto(琴)」という暗号通貨を採掘するマイニング機能も搭載されています。(https://ko-to.org)
しかし、これはあまり知られていない暗号通貨です。
この暗号通貨も匿名性の高い「ゼロ知識証明(zero-knowledge proof)」によりトランザクションを隠匿している通貨です(ZCashと同様)。ハッカーが好みそうな暗号通貨ですね。
このマルウェアが暗号通貨取引所に関連するCookieを盗み取る事から、このマルウェアを「CookieMiner」と命名されました。
「CookieMiner」感染した場合の動作は以下のとおりです。
- 被害者のマシンからGoogle ChromeおよびApple SafariブラウザのCookieを盗み取る
- Chromeに保存されたユーザー名とパスワードを盗み取る
- Chromeでクレジットカードの認証情報を保存した
- Macにバックアップした場合、iPhoneのテキストメッセージを盗む
- 暗号通貨ウォレットのデータとキーを盗む
- 「EmPyre」バックドアを使用して被害者を完全に制御し続けます
- 被害者のマシン上で暗号通貨をマイニングする
昨年からMacOSを攻撃するコンピュータウイルスが増えてきました。
くれぐれもWEB上で必要でないリンクやファイルをクリックしないで下さい。「Bitdefender」などMac用のウイルスソフトはAppSroreからダウンロードできます。その場合WEBサイトから直接ダウンロードは避けて下さい。巧妙に作られた偽のWEBサイトも存在しています。
Macのメニュー「App Store」からのダウンロードをおすすめします。
【類似記事】