Unit 42, het security onderzoeksteam van Palo Alto Networks, heeft een nieuwe Mac OS-malware gevonden. Het doel van de malware is om genoeg gegevens te kunnen stelen om cryptomunten te minen of cryptoportefeuilles te stelen.
In een gedetailleerde blogpost legt Unit 42 de malware bloot. Het kan Chrome of Safari cookies stelen, cryptomunthandelingen en wallet services. Daarnaast kan het ook bewaarde wachtwoorden en kredietkaartgegevens uit Chrome halen. Tot slot kan het iPhone-berichten stelen van iTunes back-ups.
Dat laatste is volgens de onderzoekers belangrijk wanneer de hackers met de gestolen gegevens cryptocurrency exchanges willen benaderen. Die maken dikwijls gebruik van tweestapsverificatie door bijvoorbeeld een code via sms te verzenden.
Koto cryptomunt
Alles tezamen kunnen hackers inloggen om digitale portefeuilles van gebruikers te plunderen. De malware laadt ook mining software voor Koto cryptomunten. De munt wordt vooral gemijnd in Japan en wordt verpakt als ‘xmrig2’ om als Monero-miner door het leven te gaan.
Om de infectie plaats te laten vinden, maakt de malware gebruik van EmPyre. De Koto-malware is een jaar oud en is voorlopig geen succes. Er zijn amper 12 mining pools volgens TechRepublic en 1 Koto staat gelijk aan 0,16 dollar.
Waarom Mac-malware ontwikkelen voor een heel specifieke Japanse cryptomunt? In Japan heeft Mac OS een marktaandeel van 22,4 procent. Bovendien is de kans groot dat verkregen wachtwoorden en kredietkaartgegevens op de zwarte markt worden verkocht waar geen cryptoportefeuilles mee verbonden zijn. Waakzaam zijn blijft de boodschap.
Gerelateerd: Hoe AI de strijd aan gaat met hackers en malware