Вирус, ворующий биткоины, заражает Mac OS

Новая версия CoinThief заражает и операционную систему Мак ОС (macOS). Вредоносная программа распространяется, используя уязвимость нулевого дня в браузерах.

0day (англ. zero day) — термин, обозначающий неустраненные уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы. (Википедия)

Новая версия OSX / CoinThief по-тихому заражает пользователей Mac, используя 0-дневные уязвимости, связанные с JavaScript, в двух основных браузерах (Gecko — Mozilla, Webkit — Chrome, Safari, Opera) без какого-либо взаимодействия с пользователем. OSX / CoinThief ранее был обнаружен securemac com 12 февраля 2014 года и был распространен под разными именами. В то время вредоносное ПО распространялось через Github и сайты загрузки контента, такие как MacUpdate com и Download com.

16 ноября 2017 года специалисты Symantec обнаружили новую версию CoinThief (CoinThief v2), которая контролирует буфер обмена пользователя и отмечает его компьютер как «потенциальный», если копируется адрес кошелька любого типа. Были проверены следующие типы кошельков: BTC, ETH, DASH, Liticoin, Monero, NAM  и многие другие. CoinThief глубоко внедряется в систему и, используя продвинутые механизмы, контролирует баланс кошельков с суммами выше 1000 долларов только для того, чтобы украсть деньги. В то время, когда статья писалась, более 145 BTC, 214 ETH и 21 LTC уже украдены хакерами. Apple были уведомлены об этом, и более подробная информация о вирусе будет раскрыта после расследования.

Потенциальными целями вредоносного ПО являются люди из криптовалютных сообществ и трейдеры, однако рекомендуется проверять компьютер на наличие заражения каждому пользователю Mac:

Выполните следующие команды в терминале:

  • ls -al /Library/LaunchDaemons/com.cmtn.ctv2.plist
  • ls -al / Library / PrivilegedHelperTools / ctv2
  • ls -al /Library/Compositions/.userprofile
  • ls -al /Library/Preferences/com.apple.SoftwareUpdate.plist

Если какой-либо из этих путей существует, ваша система заражена, но, к сожалению, это не все. Вредоносная программа также использует сложную технику под названием dylib hijacking, т. е. он внедряет свой вредоносный код в предустановленные приложения, такие как iTunes, так что даже после удаления вредоносного ПО из вышеупомянутых путей CoinThief можно переустановить простым запуском iTunes.

Настоятельно рекомендуем использовать ПО только из официальных источников.