CookieMiner, un malware para la sustracción de criptodivisas a través de las cookies

Los usuarios de Mac, especialmente aquellos familiarizados con el uso de criptomonedas, deben estar alerta debido al reciente descubrimiento de un nuevo malware capaz de extraer las cookies y credenciales de su navegador que estén relacionadas con las carteras de criptomonedas. El malware recibe el nombre de CookieMiner debido a su capacidad de robar cookies asociadas a operaciones de cambio de criptomonedas, está diseñado para atacar a los usuarios de Mac y hay indicios de que esté basado en DarthMiner, otro malware de Mac que fue descubierto durante finales del año pasado. En este caso, el descubrimiento se ha llevado a cabo por la Unidad 42 del equipo de investigación de seguridad de Palo Alto Networks.

Los investigadores han confirmado que además de extraer cookies, CookieMiner infecta los equipos instalándoles un software que mina criptomonedas consumiendo los recursos del sistema. Concretamente el software parece centrarse en la sustracción de “Koto” una criptomoneda no muy conocida que mayoritariamente es utilizada en Japón. El malware es capaz de extraer las cookies asociadas a las transacciones de los servicios de cambio de divisas más conocidos tanto en Google Chrome como en Safari. También puede sustraer usuarios, contraseñas e información de tarjetas de crédito guardadas en las cuentas de Google y los mensajes de las víctimas almacenados en los backup de iTunes. Por el momento se sabe que algunos de los servicios afectados son Binance, Poloniex, Bittrex, Coinbase o MyEtherWallet y cualquier otro sitio web que contenga “blockchain” en su dominio o utilice cookies para realizar un seguimiento temporal de sus usuarios.

Figura 1: Fragmento del código de CookieMiner

El potencial de este nuevo malware es bastante alto, si tenemos en cuenta los datos e información que es capaz de sustraer (credenciales, cookies, información y SMS) un posible atacante podría causar graves estragos en las carteras (de criptomonedas) de varios usuarios. Aunque todavía no se haya descubierto ninguna evidencia de su uso para vaciar la cartera virtual de alguna víctima los investigadores de Palo Alto Networks creen que la campaña de este malware todavía se encuentra activa y podría tener graves consecuencias. Las compañías tecnológicas y gestoras de criptodivisas afectadas ya han sido alertadas para que tomen nuevas medidas de seguridad que ayuden a la resolución de este problema.