Вредоносная программа для Mac «CoinThief» крадет биткоины из вашего кошелька

ОБНОВЛЕНИЕ (12 февраля, 11:35 GMT): Отчеты SecureMacВредоносное ПО для кражи биткойнов распространилось на популярные сайты загрузки, такие как Download.com и MacUpdate, под несколькими разными именами. Если вы считаете, что ваш компьютер может быть заражен, сделайте снимок экрана с инструкциямиздесьи немедленно отключитесь от интернета.

По словам исследователей безопасности Mac, троянский конь для Mac OS X, маскирующийся под приложение личного Bitcoin кошелька, несет ответственность за «множественные» кражи Bitcoin .

SecureMac

, консалтинговая компания по безопасности Mac, которая разрабатывает приложение MacScan для защиты от вредоносных программ и ведет блог о своих исследованиях,опубликовал отчетсегодняшнее предупреждение о «CoinThief.A».

Скрытый в открытом исходном коде приложения StealthBit для Bitcoin кошелька OS X, CoinThief.A отслеживает веб-трафик пользователей, чтобы похищать учетные данные для входа в программные кошельки и популярные сайты Bitcoin , включая BTC-e, Маунт-Гокс иBlockchain.info.

Приложение StealthBit было доступно наGitHubкак в виде исходного кода, так и в виде предварительно скомпилированной загрузки, но сейчас эта страница удаленаhttps://github.com/thomasrevor/StealthBit.

Обновлять:Версии вредоносного ПО под разными названиями были обнаружены на других популярных сайтах загрузки программного обеспечения, таких как Download.com и MacUpdate.com.BitVanity и StealthBitбыли распространены на Github, в то время какBitcoin Тикер TTM и Тикер Litecoinбыли распространены на Download.com и MacUpdate.com. Похоже, что оба названия приложений были скопированы с легитимных приложений в Mac App Store, но вредоносная нагрузка не была обнаружена в официальных копиях этих приложений в Mac App Store.

Несоответствующий код

Подозрение возникло, когда следователи обнаружили, что предварительно скомпилированная версия не соответствовала исходному коду (который более осведомленные пользователи могли изучить самостоятельно и который необходимо было скомпилировать перед использованием). Предварительно скомпилированная версия содержала вредоносное ПО, тогда как в открытом исходном коде его не было.

В отчете говорится:

«При первом запуске программы вредоносная программа устанавливает расширения для браузера Safari и веб-браузера Google Chrome, не предупреждая об этом пользователя. Веб-браузеры обманываются, заставляя думать, что пользователь намеренно установил расширения, и не предупреждают пользователя о том, что весь его трафик веб-браузера теперь отслеживается вредоносными расширениями.





Кроме того, вредоносная программа устанавливает программу, которая постоянно работает в фоновом режиме, ища учетные данные для входа в Bitcoin кошелек, которые затем отправляются обратно на удаленный сервер».

Расширения браузера имели безобидные названия, например, «Блокировщик всплывающих окон», чтобы избежать обнаружения. После установки троян также ищет в системеантивирусное программное обеспечениеи регистрирует уникальные идентификаторы (UUID) для каждой зараженной машины.

Крупные кражи

По крайней мере ONE пользователь форума Bitcoin Talk сообщиликража колоссальной суммы в 20 BTC после установки StealthBit, которая также быларазмещенона Reddit.

Другие исследователи отметили несколько сходств между StealthBit иБитвэнити, еще один печально известный вредоносный код Mac, который украл биткойны пользователей в августе прошлого года. Bitvanity выдавал себя за генератор адресов кошельков тщеславия, которыйсобраноадреса и закрытые ключи из программного обеспечения, например клиента Bitcoin-Qt.

Репозиторий кода StealthBit на GitHub хранился под именем пользователя «thomasrevor», а пользователь Reddit под именем «trevorscool» опубликовалобъявлениео его разработке там 2 февраля. В прошлом году код Bitvanity на GitHub был опубликован под именем 'trevory'.

Как сообщалось ранеена CoinDesk есть щедрые вознаграждения за вредоносное ПО ивирус-вымогательРазработчики, торгующие Bitcoin , благодаря своей в основном нерегулируемой и трудноотслеживаемой природе. Сообщникам можно платить, а выкупы можно собирать из любой точки мира.

Безопасность с открытым исходным кодом

Истории выявило преимущества (и проблемы), которые окружают программное обеспечение с открытым исходным кодом. Хотя вредоносное ПО не содержалось в версии кода с открытым исходным кодом, менее способные или нетерпеливые пользователи все равно могли довериться предварительно скомпилированной версии на GitHub и установить ее без лишних раздумий.

Однако «чистая» версия с открытым исходным кодом позволила программистам обнаружить несоответствие между двумя версиями в течение нескольких дней после ее появления, что привело к быстрому предупреждению о вредоносном ПО и, как можно надеяться, к уменьшению числа заражений.

Изображение хакерачерез Shutterstock