cookieminer - RunkIntel

# CookieMiner > Tipo: **malware** · S0492 · [MITRE ATT&CK](https://attack.mitre.org/software/S0492) ## Descrição [[cookieminer|CookieMiner]] é um malware para macOS que visa informações associadas a exchanges de criptomoedas, além de habilitar mineração de criptomoedas no próprio sistema da vítima. Foi descoberto em ambiente real pela primeira vez em 2019 por pesquisadores da Palo Alto Networks (Unit 42). O malware tem como alvo principal usuários de exchanges como Binance, Coinbase, Poloniex e Bitstamp, roubando cookies de sessão de navegadores como Chrome e Safari para contornar autenticação de dois fatores. O [[cookieminer|CookieMiner]] vai além do simples roubo de credenciais: ele também exfiltra dados de carteiras de criptomoedas armazenados localmente, SMS de backup do iPhone via iTunes, cartões de crédito salvos no navegador e senhas do Keychain do macOS. Adicionalmente, instala um componente de mineração de criptomoedas (XMRig) para usar os recursos computacionais da vítima em benefício dos atacantes, combinando assim roubo financeiro direto com monetização indireta via mineração. A infraestrutura de comando e controle do [[cookieminer|CookieMiner]] utiliza o framework EmPyre (pós-exploração) e um script Python para comunicação com o servidor C2. O malware emprega técnicas de persistência via Launch Agents do macOS e desabilita o firewall para facilitar a exfiltração. A combinação de roubo de cookies de sessão com credenciais de exchanges torna o CookieMiner particularmente perigoso para investidores em criptomoedas que utilizam macOS. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] - [[t1496-001-compute-hijacking|T1496.001 - Compute Hijacking]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - [[t1059-006-python|T1059.006 - Python]] ## Detecção - Monitorar criação de Launch Agents suspeitos em `~/Library/LaunchAgents/` ([[t1543-001-launch-agent|T1543.001]]) - Detectar processos Python não assinados fazendo conexões de rede externas - Alertar sobre modificações no firewall do macOS via `pfctl` ou `ipfw` - Identificar acessos anômalos a arquivos de perfil do Chrome/Safari, especialmente cookies e credenciais salvas - Monitorar execução de mineradores de criptomoedas: processos com alto consumo de CPU persistente - Verificar integridade dos arquivos de backup do iPhone no caminho `~/Library/Application Support/MobileSync/` ## Relevância LATAM/Brasil O [[cookieminer|CookieMiner]] tem relevância crescente para o Brasil e América Latina em razão do rápido crescimento do mercado de criptomoedas na região. O Brasil possui um dos maiores volumes de negociação de criptomoedas da América Latina, com milhões de usuários ativos em exchanges locais e globais. Usuários de macOS com carteiras digitais e contas em exchanges internacionais como Binance, que tem forte presença no Brasil, são alvos potenciais deste malware. Adicionalmente, a adoção de macOS em ambientes corporativos e entre investidores individuais no Brasil cria superfície de ataque relevante. Embora não hajá campanhas específicas documentadas contra alvos brasileiros, o perfil de vítimas (investidores em cripto usando macOS) é representativo de um segmento em crescimento acelerado no país. ## Referências - [MITRE ATT&CK - S0492](https://attack.mitre.org/software/S0492) - [Unit 42 - CookieMiner](https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-user-data/)