Вирус, ворующий биткоины, заражает Mac OS

460
Просмотры

Новая версия CoinThief заражает и операционную систему Мак ОС (macOS). Вредоносная программа распространяется, используя уязвимость нулевого дня в браузерах.

0day (англ. zero day) — термин, обозначающий неустраненные уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы. (Википедия)

Новая версия OSX / CoinThief по-тихому заражает пользователей Mac, используя 0-дневные уязвимости, связанные с JavaScript, в двух основных браузерах (Gecko — Mozilla, Webkit — Chrome, Safari, Opera) без какого-либо взаимодействия с пользователем. OSX / CoinThief ранее был обнаружен securemac com 12 февраля 2014 года и был распространен под разными именами. В то время вредоносное ПО распространялось через Github и сайты загрузки контента, такие как MacUpdate com и Download com.

16 ноября 2017 года специалисты Symantec обнаружили новую версию CoinThief (CoinThief v2), которая контролирует буфер обмена пользователя и отмечает его компьютер как «потенциальный», если копируется адрес кошелька любого типа. Были проверены следующие типы кошельков: BTC, ETH, DASH, Liticoin, Monero, NAM  и многие другие. CoinThief глубоко внедряется в систему и, используя продвинутые механизмы, контролирует баланс кошельков с суммами выше 1000 долларов только для того, чтобы украсть деньги. В то время, когда статья писалась, более 145 BTC, 214 ETH и 21 LTC уже украдены хакерами. Apple были уведомлены об этом, и более подробная информация о вирусе будет раскрыта после расследования.

Потенциальными целями вредоносного ПО являются люди из криптовалютных сообществ и трейдеры, однако рекомендуется проверять компьютер на наличие заражения каждому пользователю Mac:

Выполните следующие команды в терминале:

  • ls -al /Library/LaunchDaemons/com.cmtn.ctv2.plist
  • ls -al / Library / PrivilegedHelperTools / ctv2
  • ls -al /Library/Compositions/.userprofile
  • ls -al /Library/Preferences/com.apple.SoftwareUpdate.plist

Если какой-либо из этих путей существует, ваша система заражена, но, к сожалению, это не все. Вредоносная программа также использует сложную технику под названием dylib hijacking, т. е. он внедряет свой вредоносный код в предустановленные приложения, такие как iTunes, так что даже после удаления вредоносного ПО из вышеупомянутых путей CoinThief можно переустановить простым запуском iTunes.

Настоятельно рекомендуем использовать ПО только из официальных источников.

CryptoFox телеграм канал @crypto_fox
Подписывайтесь на наш канал