【パロアルトネットワークス】macOSを対象とした仮想通貨取引所のCookieを窃取するマルウェアの発見 - グッドウェイ：金融・IT業界・フィンテック情報ポータルサイト（GoodWay Fintech）

2019/02/12	【パロアルトネットワークス】macOSを対象とした仮想通貨取引所のCookieを窃取するマルウェアの発見	\| by:ウェブ管理者

本ブログは米国で2019年1月31日に公開されたUnit 42ブログ「Mac Malware Steals Cryptocurrency Exchanges’Cookies　https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/ 」の日本語翻訳です。

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、Macプラットフォームを標的にすることで知られているマルウェア「OSX.DarthMiner https://blog.malwarebytes.com/threat-analysis/2018/12/mac-malware-combines-empyre-backdoor-and-xmrig-miner/」から開発されたと思われる、仮想通貨取引所などに関連したブラウザのCookieを窃取するマルウェアを発見しました。

このマルウェアは、被害者がアクセスした主な仮想通貨取引所やウォレットサービスのWebサイトに関連するブラウザのCookieおよび、Chromeに保存されたパスワードを窃取します。そして最終的には、接続されているMacのiTunesのバックアップからiPhoneのテキストメッセージの窃取を試みます。

悪意のある攻撃者は、過去の攻撃に基づき、窃取したログイン資格情報やWebのCookie、およびSMSデータを組み合わせることで、取引所やウォレットサービスの多要素認証をバイパスできたものと思われます。

多要素認証をバイパスできれば、被害者の取引所のアカウントまたはウォレットにフルアクセスし、被害者であるユーザー本人を装ってそれらの資金を使用できるようになります。

また、このマルウェアは、仮想通貨マイニング用のソフトウェアがロードされるようにシステムを構成します。このソフトウェアは、Moneroのマイニングに使用されるXMRIGタイプのマイニングソフトに似せて作られています。ただし実際には、日本産の仮想通貨であるKotoをマイニングするマイニングソフトをロードします。

このマルウェアが取引所に関連するCookieを攻撃する方法から、私たちはこのマルウェアを「CookieMiner」と名付けました。

以降の各セクションでは、まずいくつかの背景知識を簡単に紹介し、マルウェアの動作の技術的な詳細について深く掘り下げて考察します。

■背景
WebのCookieは、認証のために広く使用されています。ユーザーがWebサイトに一度ログインすると、Webサーバーがログイン状態を認識できるようにするために、そのWebサイトのCookieが保存されます。このCookieが窃取されると、攻撃者がそのWebサイトにサインインして被害者のアカウントを使用できるようになる可能性があります。

Cookieの窃取は、ログインの異常の検出を回避するための重要なステップです。ユーザー名とパスワードのみが窃取され、悪意のある攻撃者によって使用された場合、新規のログインに対して警告が出されたり、追加の認証を要求されたりすることがあります。しかし、ユーザー名やパスワードだけでなく認証Cookieも使用された場合、ログインを以前に認証されたシステムホストに関連するものとみなして信頼しされるかもしれません。

仮想通貨取引所は、仮想通貨を他の資産(別のデジタル(仮想)通貨や従来の法定通貨など)と交換する場所です。現在のほとんどの仮想通貨取引所やオンラインウォレットサービスは、多要素認証機能を備えています。

CookieMinerは、ログイン認証情報、テキストメッセージ、およびWebのCookieの組み合わせを窃取して、認証プロセスをすり抜けようとします。

悪意のある攻撃者は、被害者のIDを使用してWebサイトへの侵入に成功すると、資金を引き出すことができるようになります。これは、公然と仮想通貨マイニングを行うよりも効率的な利益の創出方法かもしれません。さらに、攻撃者は、窃取した資産を大量に売買することにより仮想通貨の価格を操作して、利益をさらに上げることができるかもしれません。

■技術的な詳細
CookieMinerの動作の流れは以下の通りです(詳細は以降のセクションで説明します)。

・Google ChromeおよびApple SafariのブラウザのCookieを被害者の端末から窃取する
・Chromeに保存されているユーザー名とパスワードを窃取する
・Chromeに保存されているクレジットカードの認証情報を窃取する
・iPhoneのテキストメッセージがMacにバックアップされている場合は、それを窃取する
・仮想通貨のウォレットのデータとキーを窃取する
・バックドアEmPyre　https://github.com/EmpireProject/EmPyre　を使用して被害端末の完全な制御権を維持する
・被害者の端末で仮想通貨をマイニングする

■COOKIEの窃取
CookieMinerの攻撃は、macOSを標的にしたシェルスクリプトから始まります。図1に示すように、SafariブラウザのCookieをフォルダにコピーして、リモートサーバー(46.226.108[.]171:8000)にアップロードします。このサーバーは、サービス「curldrop」(https://github.com/kennell/curldrop)をホストしており、それによってユーザーはcurlを使用してファイルをアップロードできます。この攻撃は、Binance、Coinbase、Poloniex、Bittrex、Bitstamp、MyEtherWallet、およびドメイン名に「blockchain」を含むWebサイト(www.blockchain.comなど)などの仮想通貨取引所に関連するCookieを標的にします。

原文はこちら
https://www.paloaltonetworks.jp/company/in-the-news/2019/mac-malware-steals-cryptocurrency-exchanges-cookies.html

15:07

< 前の記事へ次の記事へ >一覧へ戻る