恶意软件针对Mac用户窃取加密货币交易cookie

根据Palo Alto Networks第42单元发布的最新分析，CookieMiner恶意软件专门用于窃取Mac平台上各种虚拟货币交换的数据。当然，窃取的数据主要是用户窃取虚拟货币的各种关键数据，但是用户是否被盗仍是未知数。但是，Mac计算机和虚拟货币交易的用户应该保持警惕，并且这种攻击可能会绕过多因素身份验证。

与使用键盘记录程序窃取帐户密码的许多恶意软件不同，新发现的恶意软件主要是窃取用户cookie数据。登录到每个虚拟货币交换后，用户将在本地保留cookie数据。在黑客获取数据后，他可以直接登录到每个交换机。也就是说，你可以绕过交换账户密码登录甚至谷歌2步验证等。这种攻击对用户来说是相对有害的。

CookieMiner行为的概述（在以下部分中有更详细的讨论）：

• 窃取受害者计算机上的Google Chrome和Apple Safari浏览器Cookie
• 窃取在Chrome中保存的用户名和密码
• 窃取在Chrome中保存的信用卡凭据
• 如果备份到Mac，则会窃取iPhone的短信
• 窃取加密货币钱包数据和密钥
• 使用EmPyre后门保持对受害者的完全控制
• 在受害者的机器上开采加密货币

这种基于Mac的恶意软件还将安装采矿软件以获取最大利润，但该采矿软件主要采用名为Koto的虚拟货币。虚拟货币Koto的受欢迎程度相对较低，主要仅在日本使用，因此不清楚其背后的攻击者是否是日本黑客。从感染规模来看，感染此恶意软件的用户并不多，但仍需要提醒Mac用户注意恶意软件攻击。