Поддельное Bitcoin-приложение, выложенное на популярных сайтах Downloads.com и MacUpdate.com, представляет собой фасад для троянца OSX/CoinThief, который был написан для кражи аутентификационных данных и ключей Bitcoin-кошельков и уже успел обчистить некоторое число пользователей.

Николас Птачек, ведущий разработчик из SecureMac, рассказал о том, что в Интернете обнаружены новые способы распространения троянца, нацеленного на пользователей Mac OS X, включая расширение для Firefox. Предыдущие версии CoinThief распространялись посредством страницы GitHub и также через расширения для браузеров Safari и Google Chrome.

Вредоносными оказались приложения для отслеживания курса биткоинов и лайткоинов, называющиеся Bitcoin Ticker TTM и Litecoin Ticker. По словам Птачека, оба появились на сайтах в декабре; приложение на Download.com было загружено пользователями 57 раз, а на MacUpdate — 356 раз. Также он сообщил, что на MacUpdate приложение уже блокировано, но приложение, размещенное на Download.com, до сих пор активно.

По словам Птачека, попытки связаться с Download.com оказались безуспешными.

«Те два варианта, что мы видели в SecureMac, носили то же имя и содержали идентичную информацию о разработчиках, что и два приложения, обнаруженные в Mac App Store, — рассказал Птачек. — В данный момент пока непонятно, какая связь, если она есть, имеется между этими приложениями. Начальный анализ версий из Mac App Store показал, что приложения не содержат той вредоносной нагрузки, которая имеется в версиях с Download.com».

Ранее обнаруженные версии CoinThief, установленные в расширения для браузеров Safari и Chrome, отслеживали идущий через браузер трафик и попытки логина на заданные биткоин-биржи, такие как Mt.Gox и BTC-e, а также на хранилища кошельков, такие как blockchain.info. При этом расширения названы нейтрально Pop-up Blocker и сопровождаются столь же нейтральным описанием, не возбуждающим подозрений пользователя или исследователей в области безопасности.

В этом варианте полезная нагрузка та же, по словам Птачека. В дополнение к отслеживанию попыток логина она также пытается модифицировать Bitcoin-Qt, похищая адреса и приватные ключи у этого Bitcoin-клиента.

«Этот вариант похож на раннюю версию зловреда, так как его код лишен большей части той обфускации, которую мы наблюдали в версии, проанализированной до того», — сказал Птачек.

Неделю назад SecureMac доложили об обнаружении CoinThief на GitHub. Исследователи наткнулись на программу StealthBit, которая притворялась приложением для отправки и получения платежей на скрытые адреса Bitcoin. Злоумышленники выложили исходный код и скомпилированную версию StealthBit в репозиторий, но это были разные программы. Скомпилированная версия содержала зловред CoinThief, которого не было в исходном коде. Птачек рассказал, что зловред подключался к удаленному серверу, на который отправлял похищенные данные.

«На сервер отправляется информация не только о логине и пароле для Bitcoin-приложения, но также имя пользователя и UUID (уникальный идентификатор) зараженного Mac, а также список установленных Bitcoin-приложений», — написали SecureMac на своем сайте.

Птачек также заявил, что удаленный сервер был зарегистрирован в Австралии через bitcoinwebhosting[.]net, но физически расположен где-то в другом месте. По его словам, сервер был размещен на www[.]media02-cloudfront[.]com c IP-адресом 217[.]78[.]5[.]17 и в данный момент, похоже, уже не работает.

Категории: Вредоносные программы