CookieMiner: Mac-Malware will Zugang zu Kryptobörsen erschleichen
Um Multifaktor-Authentifizierungssysteme zu überwinden, soll ein Trojaner neben Cookies und Passwörtern auch iPhone-Textnachrichten abgreifen.
(Bild: dpa, Karl-Josef Hildenbrand/Archiv)
- Leo Becker
Eine neu entdeckte Mac-Malware zielt auf Nutzer von Kryptobörsen ab. Die "CookieMiner" getaufte Schad-Software versucht, sämtliche Cookies aus den Browsern Safari und Chrome zu kopieren, die von Kryptobörsen stammen – darunter fallen unter anderem Coinbase, Binance und MyEtherWallet sowie alle Webseiten mit dem Wort "Blockchain", wie die Sicherheitsfirma Palo Alto Networks' Unit 42 aufführt.
Malware auch an iPhone-SMS-Nachrichten interessiert
Der Schädling ist außerdem darauf aus, Zugangsdaten mitsamt den Passwörtern sowie hinterlegte Kreditkartendaten aus Google Chrome auszulesen, Daten und Schlüssel von Krypto-Wallets einzusammeln und sogar SMS-Nachrichten abzugreifen, die der Nutzer auf seinem iPhone empfangen hat, heißt es in einer Analyse der Malware. Möglich wird dies nur, wenn iPhone-Backups lokal über iTunes auf dem Mac (unverschlüsselt) gesichert werden.
Mit dieser weitreichenden Kombination aus gestohlenen Daten könnten Angreifer selbst die Multifaktor-Authentifizierungssysteme von Kryptobörsen überwinden, glauben die Sicherheitsforscher – und so einen kompletten Zugriff auf Accounts und Wallets der Opfers erlangen.
Verbreitung und Infektionsweg unbekannt
(Bild: Unit 42)
Durch Einrichtung einer Backdoor behalte CookieMiner die volle Kontrolle über den Mac und könne so weitere Befehle des entfernten Angreifers entgegennehmen. Dabei werde auch geprüft, ob Sicherheits-Software zur Kontrolle ausgehenden Netzwerkverkehrs auf dem Mac installiert ist, wie Unit 42 anmerkt. Ist das der Fall, nehme der Schädling keine Verbindung zu den Servern der Angreifer auf. Zusätzlich verwendet CookieMiner den infizierten Mac zum Mining der Kryptowährung Koto.
Aus dem Bericht der Sicherheitsfirma geht nicht hervor, auf welche Weise der Schädling verteilt wird. Auch zur Infektion gibt es keine weitere Angabe, vermutlich muss der Nutzer die getarnte Malware manuell installieren. Mac-Schadsoftware tarnt sich weiterhin gerne als vermeintliches Flash-Update, Installer werden mitunter über manipulierte Werbebanner ausgeliefert, die beim Aufruf einer beliebigen Webseite erscheinen können. (lbe)
