Gli sviluppatori di Palo Alto Networks hanno scoperto un nuovo malware che prende di mira i sistemi macOS e che è stato sviluppato per porre in essere furti di identità, sottrarre denaro sotto forma di crittovalute e assumere pieno controllo dei sistemi altrui.
Secondo gli esperti, quella appena venuta a galla sarebbe una variante del malware OSX.DarthMiner, già conosciuto in ambiente Mac.
L’obiettivo primario della minaccia è quello di rubare i cookie contenenti i token per l’autenticazione su un vasto numero di siti web. Al momento il componente malevolo concentra la sua attenzione sui servizi che forniscono servizi di scambio delle crittovalute (exchange) quindi realtà come Coinbase, Binance, Poloniex, Bittrex, Bitstamp, MyEtherWallet e simili. Non è escluso che le prossime varianti possano lanciarsi sui servizi di online banking degli istituti di credito più famosi.
Qual è la ratio di rubare i cookie e non le credenziali vere e proprie? Usando le seconde gran parte dei siti web mostra un avviso al proprietario dell’account chiedendo di confermare l’accesso ritenuto sospetto. Rubando i cookie, invece è possibile simulare una sessione autenticata già avviata in precedenza traendo in inganno molti servizi online.
Non solo. Il malware scoperto da Palo Alto Networks sottrae anche le password memorizzate in Google Chrome e prova a impossessarsi del contenuto dei messaggi di testo (SMS) ricevuti sui dispositivi mobili collegati (così come il backup di iTunes).
Il fine è quello di superare anche i meccanismi di autenticazione a due fattori e sottrarre denaro ai malcapitati.
Dopo aver infettato il sistema macOS, il malware apre una backdoor sul sistema così da permetterne il controllo a distanza da parte dei criminali informatici e spesso carica anche un miner di crittomonete.
L’analisi completa elaborata dai tecnici di Palo Alto Networks è consultabile in questa pagina.