اكتشفت شركة «بالو ألتو نتوركس» برمجية خبيثة تستهدف نظام التشغيل ماك، وأطلق على هذه البرمجية الخبيثة تسمية “كوكي لوفر”. تستطيع هذه البرمجية الخبيثة سرقة ملفات تعريف الارتباط (الكوكيز) من المتصفح والمرتبطة بمواقع محافظ وبورصات تبادل العملات المشفرة التي يزورها المستخدم الضحية. كما تستطيع سرقة كلمات المرور المخزنة في متصفح كروم، والرسائل النصية لهاتف آي فون المخزنة في نسخ احتياطية على جهاز ماك. وباستغلال بيانات الدخول وملفات تعريف الارتباط وبيانات من الرسائل النصية المسروقة، يكون لدى المهاجمين فرصة أكبر في تجاوز عملية استيثاق الدخول بعوامل عدة. وسنورد في الأقسام التالية بعض المعلومات الموجزة عن خلفية هذه البرمجية الخبيثة ومن ثم نتطرق إلى التفاصيل الفنية عن سلوكياتها.
يشيع استخدام ملفات تعريف الارتباط بمواقع الويب (الكوكيز) لأجل توثيق الدخول إليها. وبمجرد تسجيل المستخدم الدخول إلى موقع الويب يجري تخزين ملفات تعريف الارتباط لخادم الموقع لأجل معرفة حالة الدخول. وفي حالة سرقة ملفات تعريف الارتباط، فيحتمل عندها تمكن المهاجم من تسجيل الدخول إلى موقع الويب ذاته واستخدام حساب الضحية. إن سرقة ملفات تعريف الارتباط هي خطوة هامة لتجاوز آلية الكشف عن تسجيل الدخول بطريقة شاذة. فإذا سرق واستغل المهاجم اسم المستخدم وكلمة المرور فقط، فيمكن للموقع أن يصدر تحذيرًا أو يطلب معلومات استيثاق إضافية لإعادة تسجيل الدخول. لكن في حالة تقديم ملف تعريف ارتباط بالموقع إضافة إلى اسم المستخدم وكلمة المرور، فعندها قد يظن الموقع بأن محاولة الدخول هذه ترد من نظام موثوق به مسبقًا، وبالتالي لا يصدر تحذيرًا ولا يتطلب اتباع أساليب استيثاق إضافية.
بورصات العملات المشفرة هي مواقع لمبادلة هذه العملات بأصول أخرى، مثل العملات الرقمية أو العملات النقدية التقليدية الأخرى. وتعتمد معظم بورصات العملات المشفرة وخدمات محافظها على آلية استيثاق الدخول بعدة عوامل. إلا أن برمجية “كوكي لوفر” الخبيثة تحاول تجاوز عملية استيثاق الدخول بأكملها عن طريق سرقة معلومات الدخول ورسائل نصية وملفات تعريف الارتباط.
وفي حال نجح المهاجمون في الدخول إلى المواقع باستخدام هوية الضحية فإنهم يستطيعون تنفيذ عمليات سحب نقدي. وهذه تعد طريقة فعالة أكثر في توليد الأرباح من التعدين المباشر للعملات الرقمية المشفرة. علاوة على ذلك، تسنح للمهاجمين فرصة التلاعب بأسعار العملات المشفرة عن طريق بيع و/أو شراء الأصول المسروقة بكميات كبيرة بهدف تحقيق أرباح إضافية.
وتقوم برمجية كوكي لوفر بمجموعة من الأنشطة الخبيثة أبرزها:
1.سرقة ملفات تعريف الارتباط من متصفح كروم ومتصفح سفاري على جهاز الضحية
2.سرقة أسماء المستخدم وكلمات المرور في متصفح كروم
3.سرقة بيانات البطاقة الائتمانية المخزنة في متصفح كروم
4.سرقة الرسائل النصية لهاتف آي فون إن نُسخت احتياطيًا وخُزنت على جهاز ماك
5.سرقة بيانات ومفاتيح محفظة العملة المشفرة
6.سيطرة كاملة على جهاز الضحية عن طريق باب خلفي يدعى ”إمباير”
7.استغلال جهاز الضحية في تعدين العملات المشفرة
وتهدف برمجية “كوكي لوفر” الخبيثة إلى مساعدة المهاجمين على توليد الأرباح عن طريق جمع معلومات دخول المستخدم إضافة إلى تعدين العملات المشفرة. وإذا وضع المهاجمون يدهم على كافة المعلومات اللازمة لعملية الاستيثاق، فيمكن تجاوز عملية استيثاق الدخول بعدة عوامل. يتوجب على مالكي العملات المشفرة مراقبة إعداداتهم الأمنية وأصولهم الرقمية لتجنب وقوع تسريبات أو اختراقات.
يتمتع عملاء شركة «بالو ألتو نتوركس» بالحماية بفضل خدمة «وايلد فاير» WildFire التي تستطيع الكشف التلقائي عن هذه البرمجية الخبيثة. كما يمكن لمستخدمي خدمة «أوتو فوكاس» AutoFocus تعقب هذا النشاط باستخدام وسم StealCookie.