Сайт исследования безопасности
SecureMac обнаружил новый троян, который предназначен для систем OS X, и который шпионит за использованием интернет-трафика, для кражи Биткоин.
Троян называется OS X/CoinThief.A, он маскируется под стандартное OS X приложение под названием StealthBit, которое недавно было загружено в GitHub. Хотя оно и рекламируется в качестве законного проекта для приема платежей Биткоин в Bitcoin Stealth Addresses (ключевая программа шифрования для обеспечения трансферов Биткоин), вместо этого StealthBit устанавливает вредоносную следящую программу ничего не подозревающему пользователю Мака.
На странице проекта на GitHub присутствует исходный код вместе с подготовленными заранее бинарными файлами. Хотя это распространенная и удобная практика для проектов GitHub, в этом случае предварительно скомпилированный двоичный файл не соответствует исходному коду проекта и содержит вредоносную программу для отслеживания веб-активности пользователя.
При загрузке и запуске, бинарный файл устанавливает расширение для браузера в домашней папке пользователя, которое работало бы в запущенном Сафари или другом веб-браузере. Это расширение затем контролирует сайты, которые посещают пользователи, фиксирует логины и пароли, вводимые на сайтах, работающих с Биткоин и передаёт эту информацию третьим лицам т. е. злоумышленникам.
Чтобы замаскировать расширение, преступники дали ему безобидное имя, вроде "Pop-up blocker" и попытались предотвратить его раскрытие при поиске с помощью распространенных инструментов защиты от вредоносного ПО и запретить установку расширения в системах, содержащих такие инструменты.
Будучи относительно новым растущим рынком с недавней ценой, остановившейся на уровне около $700 за монету, Биткоины добываются с помощью аппаратных ресурсов компьютера и сложных математических вычислений, что в последнее время сделать практически не возможно, и эта вредоносная программа является последней попыткой сделать это.
В настоящее время, не так много известно об OSX/CoinThief.A, а SecureMac и другие аналитики безопасности продолжают расследование вредоносного ПО, однако, если вы недавно скачали инструмент управления Bitcoin из GitHub, то постарайтесь проверить активность расширений своего браузера, чтобы увидеть, присутствуют ли те, которые вы не установили намеренно.
Пользователи Сафари, вы можете перейти в раздел "Расширения" настроек Сафари для просмотра активных расширений. В Фаерфоксе, вы можете выбрать "Дополнения" в меню "Инструменты", а затем выбрать раздел "Расширения", а в Хроме можно выбрать "Расширения" в меню "Инструмены". Если вы нашли неизвестные расширения в этих местах, то вы можете отключить или удалить их, но затем вновь периодически проверяйте, не появляются они вновь, такое поведение будет означать присутствие компонента вредоносной программы, который постоянно держит расширение установленным и активным.
Данная вредоносная программа, как известно, устанавливает фоновую задачу, которая запускается автоматически при входе пользователя в свой аккаунт. Эти процедуры, как правило, управляются скриптами агента запуска, которые расположены в папке "имя пользователя> Библиотека> Агенты запуска". Тогда как агенты запуска обычно используются программами обновления и другими запускаемыми программами, чтобы давать пользователю оповещения и планировать обновления. Они также используются разработчиками вредоносных программ, чтобы держать вредоносные программы работающими в фоновом режиме.
Открывая каждый агент запуска и проверяя их параметры "Program Arguments" или "Program", вы можете увидеть, какой исполняемый файл (и соответствующий ему путь) является целью этого агента, а затем проверить различные онлайн источники, такие как сообщества поддержки Эпл и узнать, являются ли пути и исполняемые файлы легальными.
К сожалению, иногда манипуляции с агентами запуска вредоносных программ могут быть довольно осложнены, тем более, что агент запуска и исполняемый файл могут быть легко замаскированы и выглядеть законными. Поэтому, если вы не уверены в том, как найти и удалить вредоносные программы, вы можете использовать авторитетные сканеры вредоносных программ, которые были обновлены для идентификации CoinThief.A.
По мере исследования этой вредоносной программы, станут доступны определения для неё и всех последующих её вариантов. Эти определения затем могут быть использованы, чтобы точнее обнаружить присутствие трояна и удалить из зараженной системы.
