La multinationale américaine de la cybersécurité, Palo Alto Networks, a déclaré avoir découvert un malware, qui pourrait dérober des noms d’utilisateur et des mots de passe enregistrés dans Google Chrome, ainsi que des informations relatives aux cartes de crédit dans les messages textuels d’iPhones.
La société californienne a nommé le malware “CookieMiner“. Conformément à l’unité 42, une branche de Palo Alto Networks, ce malware est capable de voler les cookies associés aux sites Web d’échanges de crypto-monnaies et de services de portefeuille classiques visités par les victimes.
Il vole également les mots de passe enregistrés dans Chrome et les sauvegardes iTunes sur le périphérique Mac visé. Selon les chercheurs,
“En exploitant la combinaison d’identifiants de connexion volés, de cookies Web et de données SMS, sur la base d’attaques antérieures telles que celle-ci, nous pensons que les hackers pourraient contourner l’authentification à plusieurs facteurs pour ces sites”.
Si les pirates informatiques réussissaient, ils auraient pleinement accès aux comptes de la victime ainsi qu’à un portefeuille et utiliseraient les fonds comme s’ils en étaient eux-mêmes les possesseurs. Les chercheurs ont également constaté que le logiciel malveillant configurait également le système pour lancer un logiciel de mining.
Lorsqu’un utilisateur se connecte à un site Web, ses cookies sont stockés pour permettre au serveur Web de connaître l’état de la connexion. Entre-temps, si ces cookies sont volés par ces pirates, ils pourraient éventuellement se connecter au compte de la victime et pouvoir l’utiliser.
L’unité 42 a déclaré jeudi dans un blog que le vol de ces cookies était une étape importante “pour contourner la détection d’anomalie de connexion. Si seuls le nom d’utilisateur et le mot de passe sont volés et utilisés par un mauvaise personne, le site Web peut émettre une alerte ou demander une authentification supplémentaire pour une nouvelle connexion.”
Il convient de noter qu’il est possible que le site Web ne puisse pas émettre d’alerte ou de demande d’authentification si la victime a fourni un cookie d’authentification avec le nom d’utilisateur et le mot de passe et si le site Web poursuit l’opération en pensant que la session est associée à un système précédemment authentifié.
Les chercheurs ont ajouté que “si les mauvais acteurs accèdent avec succès aux sites Web en utilisant l’identité de la victime, ils peuvent effectuer des retraits de fonds“.
Ce malware ne cible pas seulement Safari d’Apple, les attaquants ciblent également Google Chrome en raison de sa popularité.
Bien que la plupart des plateformes d’échanges en crypto-devises et de services de portefeuille en ligne utilisent une authentification à plusieurs facteurs, des rapports suggèrent que les propriétaires de la crypto-monnaie “devraient surveiller leurs paramètres de sécurité pour éviter toute compromission”.
