金融&IT業界の情報ポータルサイト
 
 


 
【金融業界ニュース】 >> 記事詳細

2019/02/12

【パロアルトネットワークス】macOSを対象とした仮想通貨取引所のCookieを窃取するマルウェアの発見

| by:ウェブ管理者
本ブログは米国で2019年1月31日に公開されたUnit 42ブログ「Mac Malware Steals Cryptocurrency Exchanges’Cookies https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/ 」の日本語翻訳です。

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、Macプラットフォームを標的にすることで知られているマルウェア 「OSX.DarthMiner https://blog.malwarebytes.com/threat-analysis/2018/12/mac-malware-combines-empyre-backdoor-and-xmrig-miner/」から開発されたと思われる、仮想通貨取引所などに関連したブラウザのCookieを窃取するマルウェアを発見しました。

このマルウェアは、被害者がアクセスした主な仮想通貨取引所やウォレットサービスのWebサイトに関連するブラウザのCookieおよび、Chromeに保存されたパスワードを窃取します。そして最終的には、接続されているMacのiTunesのバックアップからiPhoneのテキストメッセージの窃取を試みます。

悪意のある攻撃者は、過去の攻撃に基づき、窃取したログイン資格情報やWebのCookie、およびSMSデータを組み合わせることで、取引所やウォレットサービスの多要素認証をバイパスできたものと思われます。

多要素認証をバイパスできれば、被害者の取引所のアカウントまたはウォレットにフルアクセスし、被害者であるユーザー本人を装ってそれらの資金を使用できるようになります。

また、このマルウェアは、仮想通貨マイニング用のソフトウェアがロードされるようにシステムを構成します。このソフトウェアは、Moneroのマイニングに使用されるXMRIGタイプのマイニングソフトに似せて作られています。ただし実際には、日本産の仮想通貨であるKotoをマイニングするマイニングソフトをロードします。

このマルウェアが取引所に関連するCookieを攻撃する方法から、私たちはこのマルウェアを「CookieMiner」と名付けました。

以降の各セクションでは、まずいくつかの背景知識を簡単に紹介し、マルウェアの動作の技術的な詳細について深く掘り下げて考察します。

■背景
WebのCookieは、認証のために広く使用されています。ユーザーがWebサイトに一度ログインすると、Webサーバーがログイン状態を認識できるようにするために、そのWebサイトのCookieが保存されます。このCookieが窃取されると、攻撃者がそのWebサイトにサインインして被害者のアカウントを使用できるようになる可能性があります。

Cookieの窃取は、ログインの異常の検出を回避するための重要なステップです。ユーザー名とパスワードのみが窃取され、悪意のある攻撃者によって使用された場合、新規のログインに対して警告が出されたり、追加の認証を要求されたりすることがあります。しかし、ユーザー名やパスワードだけでなく認証Cookieも使用された場合、ログインを以前に認証されたシステム ホストに関連するものとみなして信頼しされるかもしれません。

仮想通貨取引所は、仮想通貨を他の資産(別のデジタル(仮想)通貨や従来の法定通貨など)と交換する場所です。現在のほとんどの仮想通貨取引所やオンラインウォレット サービスは、多要素認証機能を備えています。

CookieMinerは、ログイン認証情報、テキスト メッセージ、およびWebのCookieの組み合わせを窃取して、認証プロセスをすり抜けようとします。

悪意のある攻撃者は、被害者のIDを使用してWebサイトへの侵入に成功すると、資金を引き出すことができるようになります。これは、公然と仮想通貨マイニングを行うよりも効率的な利益の創出方法かもしれません。さらに、攻撃者は、窃取した資産を大量に売買することにより仮想通貨の価格を操作して、利益をさらに上げることができるかもしれません。

■技術的な詳細
CookieMinerの動作の流れは以下の通りです(詳細は以降のセクションで説明します)。

・Google ChromeおよびApple SafariのブラウザのCookieを被害者の端末から窃取する
・Chromeに保存されているユーザー名とパスワードを窃取する
・Chromeに保存されているクレジットカードの認証情報を窃取する
・iPhoneのテキストメッセージがMacにバックアップされている場合は、それを窃取する
・仮想通貨のウォレットのデータとキーを窃取する
・バックドアEmPyre https://github.com/EmpireProject/EmPyre を使用して被害端末の完全な制御権を維持する
・被害者の端末で仮想通貨をマイニングする


■COOKIEの窃取
CookieMinerの攻撃は、macOSを標的にしたシェル スクリプトから始まります。図1に示すように、SafariブラウザのCookieをフォルダにコピーして、リモートサーバー(46.226.108[.]171:8000)にアップロードします。このサーバーは、サービス「curldrop」(https://github.com/kennell/curldrop)をホストしており、それによってユーザーはcurlを使用してファイルをアップロードできます。この攻撃は、Binance、Coinbase、Poloniex、Bittrex、Bitstamp、MyEtherWallet、およびドメイン名に「blockchain」を含むWebサイト(www.blockchain.comなど)などの仮想通貨取引所に関連するCookieを標的にします。




原文はこちら
https://www.paloaltonetworks.jp/company/in-the-news/2019/mac-malware-steals-cryptocurrency-exchanges-cookies.html

15:07
 

【免責事項】
サイト掲載情報の正確性、および完全性については最善を尽くしておりますが、その内容を保証するものではございません。また利用者が当サイト、およびサイトに関連するコンテンツ、リンク先サイトにおける一切のサービス等を利用されたことに起因、または関連して生じた一切の損害(間接的、直接的を問わず)について、当社、当サイト、投稿者および情報提供者は一切の責任を負いません。

Copyright © 2010- GoodWay Inc. All rights reserved.