Vid den nya typen av angrepp stjäls en mängd olika filer från Appleanvändarnas datorer. Det handlar om kreditkortsnummer, lösenord och webbläsarcookies. Denna information kan sedan användas för att logga in på användares bankkonto för kryptovaluta. Palo Alto Networks menar mot bakgrund av vad som skett vid tidigare intrång att det är troligt att målet är att stjäla bitcoins och andra kryptovalutor.

De nya attackerna genomförs av en programvara som utvecklats från en tidigare uppmärksammad skadlig programvara, OSX.DarthMiner, och intrången riktar sig enbart mot Apples produkter.

Programvaran som används vid de nya attackerna kallas ”CookieMiner”. När CookieMiner tagit sig in på en dator letar den reda på cookies från stora kryptovalutasajter som Coinbase, det vill säga webbplatser där man köper, säljer och sparar kryptovaluta. Såväl cookies från Apple Safari som Google Chrome tas om hand och detsamma gäller lösenord i Chrome. CookieMiner stjäl även sms från användarens iPhone, om de använt iTunes för backup.

De filer som stjäls innehåller all information som behövs för att logga in på kryptovalutasajter som använder flera steg vid inloggningen, till exempel en kombination av lösenord och en pinkod som levereras som sms. Cookies används dessutom av många webbplatser för att avgöra om det behövs en extra kontroll av användaren. De som har tillgång till rätt cookie får det därför enklare att ta sig förbi webbplatsens säkerhetslösning.

Den nya attacken ger stora möjligheter för utdelning för cyberbrottslingar. Inte bara kan de få tillgång till stora mängder bitcoins utan i intrången ingår även att de installerar en programvara som utvinner kryptovaluta på de drabbades datorer. Efter attacken kan även datorn fjärrstyras. De Macanvändare som äger kryptovaluta bör vara extra vaksamma, menar Palo Alto Networks.