Trojan.CoinThief крадет криптовалюту на компьютерах Apple

Вредоносные программы, предназначенные для добычи (майнинга) криптовалют и хищения электронных кошельков, являются весьма распространенным типом угроз для персональных компьютеров, работающих под управлением Windows.

Вместе с тем, вирусописатели не оставляют без внимания и пользователей других системных платформ: в базы антивируса «Доктор Веб» недавно был добавлен троянец под именем Trojan.CoinThief*, предназначенный для хищения криптовалюты Bitcoin на компьютерах производства компании Apple.

Специалистам «Доктор Веб» известно несколько модификаций Trojan.CoinThief, первые образцы этого троянца получили распространение еще осенью 2013 года, в период бурного роста курса электронной криптовалюты Bitcoin. Программа маскируется под легитимные утилиты для добычи (майнинга) этой криптовалюты, такие как, в частности, BitVanity, StealthBit, Bitcoin Ticker TTM, Litecoin Ticker. Trojan.CoinThief заражает компьютеры, работающие под управлением Mac OS X.

Троянец состоит из нескольких компонентов: инсталлятора, распространяющегося под именем легитимного приложения, агента, реализующего ряд функций (например, обработка перехваченных данных, проверка установленных на машине приложений и самообновление), а также расширения браузера для фильтрации трафика, выполнения функций агента и общения с командным сервером злоумышленников. Основное функциональное назначение вредоносной программы — мониторинг трафика с целью хищения приватных данных из приложений для добычи электронной криптовалюты Bitcoin и Litecoin. Также, в случае если на инфицированном компьютере установлен клиент платежной системы Bitcoin-Qt, Trojan.CoinThief модифицирует эту программу и похищает приватные данные непосредственно из нее. С помощью полученной информации злоумышленники могут выполнить несанкционированные транзакции электронной валюты с компьютера жертвы.

биткоинылайткоины

Сигнатуры Trojan.CoinThief добавлены в вирусные базы, и потому пользователи Apple-совместимых компьютеров, установившие Антивирус Dr.Web для Mac OS X, полностью защищены от этой угрозы.

*Троян состоит из нескольких компонентов:

  1. Инсталлятор под именем легитимного приложения.
  2. Агент, реализующий ряд функций (например, обработка перехваченных данных, проверка установленных на машине приложений и самообновление).     Для установки использует следующий путь:~/Library/Application Support/.com.google.softwareUpdateAgent
  3. Расширение браузера с названием Pop-Up Blocker, предназначено для фильтрации трафика, выполнения функций из агента и общения с C&C.

Основное функциональное назначение вредоносной программы — мониторинг трафика с целью хищения приватных данных из приложений для добычи электронной криптовалюты Bitcoint и Litecoin. Также в случае, если на инфицированном компьютере установлена программа — клиент платежной системы Bitcoin-Qt, Trojan.CoinThief модифицирует ее и похищает приватные данные непосредственно из данного приложения.