Malware 'CoinThief' para Mac rouba Bitcoins da sua carteira

ATUALIZAÇÃO (12 de fevereiro, 11:35 GMT): Relatórios SecureMaco malware que rouba bitcoins se espalhou para sites de download populares como Download.com e MacUpdate, sob vários nomes diferentes. Se você acha que sua máquina pode estar infectada, tire uma captura de tela das instruçõesaquie desconecte-se da internet imediatamente.

Um cavalo de Troia do Mac OS X disfarçado de aplicativo de carteira privada de Bitcoin é responsável por "vários" roubos de Bitcoin , de acordo com pesquisadores de segurança do Mac.

SecureMac

, uma consultoria de segurança para Mac que desenvolve o aplicativo antimalware MacScan e mantém um blog sobre suas pesquisas,divulgou um relatóriohoje alerta sobre 'CoinThief.A'.

Escondido dentro do aplicativo de carteira Bitcoin de código aberto do OS X StealthBit, o CoinThief.A monitora o tráfego da web dos usuários para roubar credenciais de login para carteiras de software e sites Bitcoin populares, incluindo BTC-e, Monte Gox eBlockchain.info.

O aplicativo StealthBit estava disponível emGitHubtanto como código-fonte quanto como download pré-compilado, mas a página já foi removidahttps://github.com/thomasrevor/StealthBit.

Atualizar:Versões do malware foram encontradas com vários nomes diferentes em outros sites populares de download de software, como Download.com e MacUpdate.com.BitVanity e Bit furtivoforam distribuídos no Github, enquantoCotação do Bitcoin TTM e Cotação Litecoinforam distribuídos no Download.com e MacUpdate.com. Parece que ambos os nomes de aplicativos foram copiados de aplicativos legítimos na Mac App Store, mas a carga maliciosa não foi encontrada nas cópias oficiais da Mac App Store desses aplicativos.

Código incompatível

A suspeita surgiu quando os investigadores descobriram que a versão pré-compilada não correspondia à fonte (que usuários mais experientes podiam examinar por si mesmos e precisavam compilar antes de usar). A versão pré-compilada continha o malware, enquanto o código-fonte aberto não.

O relatório disse:

"Ao executar o programa pela primeira vez, o malware instala extensões de navegador para o Safari e o navegador da web Google Chrome, sem alertar o usuário. Os navegadores da web são enganados a pensar que o usuário instalou as extensões intencionalmente e não dão nenhum aviso ao usuário de que todo o seu tráfego de navegação na web agora está sendo monitorado pelas extensões maliciosas.





Além disso, o malware instala um programa que é executado continuamente em segundo plano, procurando credenciais de login da carteira Bitcoin , que são então enviadas de volta para um servidor remoto."

As extensões do navegador tinham nomes inócuos como 'Bloqueador de Pop-ups' para evitar a detecção. Uma vez instalado, o trojan também pesquisa no sistema porsoftware anti-malwaree registra identificadores exclusivos (UUIDs) para cada máquina infectada.

Grandes furtos

Pelo menos um usuário do Bitcoin Talk Forum relatadoum roubo colossal de 20 BTC após a instalação do StealthBit, que também foipostadono reddit.

Outros investigadores notaram várias semelhanças entre o StealthBit eBitvanity, outro pedaço de malware Mac notório que roubou bitcoins de usuários em agosto passado. Bitvanity se apresentou como um gerador de endereços de carteira de vaidade quecolhidoendereços e chaves privadas de software como o cliente Bitcoin-Qt.

O repositório de código GitHub do StealthBit foi armazenado sob o nome de usuário 'thomasrevor' e um usuário do Reddit chamado 'trevorscool' postou umanúnciosobre seu desenvolvimento lá em 2 de fevereiro. No ano passado, o código GitHub do Bitvanity foi postado sob o nome 'trevory'.

Como relatado anteriormenteno CoinDesk, há recompensas valiosas para malware eransomwaredesenvolvedores negociando Bitcoin graças à sua natureza, em grande parte, não regulamentada e difícil de rastrear. Cúmplices podem ser pagos, e resgates coletados de qualquer lugar do mundo.

Segurança de código aberto

A Confira destacou os benefícios (e problemas) que cercam o software de código aberto. Embora o malware não estivesse contido na versão de código aberto do código, usuários menos capazes ou impacientes ainda podem ter confiado na versão pré-compilada no GitHub e instalado sem pensar duas vezes.

A versão 'limpa' de código aberto, no entanto, permitiu que os programadores encontrassem uma discrepância entre as duas versões poucos dias após seu aparecimento, levando a avisos rápidos sobre o malware e, com sorte, menos infecções.

Imagem de Hackervia Shutterstock