Il malware per Mac 'CoinThief' ruba Bitcoin dal tuo portafoglio

AGGIORNAMENTO (12 febbraio, 11:35 GMT): Segnalazioni SecureMacil malware che ruba bitcoin si è diffuso su siti di download popolari come Download.com e MacUpdate, sotto diversi nomi. Se pensi che il tuo computer possa essere infetto, fai uno screenshot delle istruzioniQuie disconnettersi immediatamente da Internet.

Secondo i ricercatori sulla sicurezza Mac, un trojan horse per Mac OS X mascherato da app privata per portafoglio Bitcoin è responsabile di "molteplici" furti Bitcoin .

SicuroMac

, una società di consulenza sulla sicurezza Mac che sviluppa l'applicazione anti-malware MacScan e tiene blog sulla sua ricerca,ha pubblicato un rapportooggi avviso di 'CoinThief.A'.

Nascosto all'interno dell'app open source per portafoglio Bitcoin OS X StealthBit, CoinThief.A monitora il traffico web degli utenti per rubare le credenziali di accesso per i portafogli software e i siti Bitcoin più popolari, tra cui BTC-e, Monte Gox eBlockchain.info.

L'app StealthBit era disponibile suGuida in lineasia come codice sorgente che come download precompilato, ma la pagina è stata ora rimossa https://github.com/thomasrevor/StealthBit.

Aggiornamento:Versioni del malware sono state trovate con numerosi nomi diversi su altri siti di download di software popolari, come Download.com e MacUpdate.com.BitVanità E Bit furtivosono stati distribuiti su Github, mentreTicker Bitcoin TTM E Ticker Litecoinsono stati distribuiti su Download.com e MacUpdate.com. Sembra che entrambi i nomi delle app siano stati copiati da app legittime nel Mac App Store, ma il payload dannoso non è stato trovato nelle copie ufficiali del Mac App Store di queste app.

Codice non corrispondente

I sospetti sono sorti quando gli investigatori hanno scoperto che la versione precompilata non corrispondeva alla fonte (che gli utenti più esperti avrebbero potuto esaminare da soli e che dovevano compilare prima di utilizzarla). La versione precompilata conteneva il malware, mentre il codice open source no.

Il rapporto afferma:

"Quando si esegue il programma per la prima volta, il malware installa estensioni del browser per Safari e il browser web Google Chrome, senza avvisare l'utente. I browser web vengono ingannati nel pensare che l'utente abbia installato intenzionalmente le estensioni e non danno alcun avviso all'utente che tutto il suo traffico di navigazione web è ora monitorato dalle estensioni dannose.





Inoltre, il malware installa un programma che viene eseguito continuamente in background, alla ricerca delle credenziali di accesso al portafoglio Bitcoin , che vengono poi inviate a un server remoto.

Le estensioni del browser avevano nomi innocui come 'Pop-up Blocker' per evitare di essere rilevate. Una volta installato, il trojan cerca anche nel sistemasoftware anti-malwaree registra identificatori univoci (UUID) per ogni macchina infetta.

Grandi furti

Almeno ONE utente Bitcoin Talk Forum segnalatoun furto enorme di 20 BTC dopo l'installazione di StealthBit, che era anchepubblicatosu reddit.

Altri ricercatori hanno notato diverse somiglianze tra StealthBit eVanità di Bit, un altro pezzo di famigerato malware per Mac che ha rubato i bitcoin degli utenti lo scorso agosto. Bitvanity si è spacciato per un generatore di indirizzi di portafoglio vanitoso cheraccoltoindirizzi e chiavi private da software come il client Bitcoin-Qt.

Il repository del codice GitHub di StealthBit è stato archiviato con il nome utente 'thomasrevor' e un utente di Reddit di nome 'trevorscool' ha pubblicato unannunciosul suo sviluppo il 2 febbraio. L'anno scorso, il codice GitHub di Bitvanity è stato pubblicato con il nome 'trevory'.

COME segnalato in precedenzasu CoinDesk, ci sono ricche ricompense per malware eRischio di corruzionesviluppatori che commerciano in Bitcoin grazie alla sua natura per lo più non regolamentata e difficile da tracciare. I complici possono essere pagati e i riscatti possono essere riscossi da qualsiasi parte del mondo.

Sicurezza open source

La Da scoprire ha evidenziato i vantaggi (e i problemi) che circondano il software open source. Sebbene il malware non fosse contenuto nella versione open source del codice, gli utenti meno capaci o impazienti potrebbero comunque essersi fidati della versione precompilata su GitHub e averla installata senza pensarci due volte.

La versione open source "pulita", tuttavia, ha permesso ai programmatori di individuare una discrepanza tra le due versioni nel giro di pochi giorni dalla sua comparsa, il che ha portato a segnalazioni più rapide del malware e, si spera, a un minor numero di infezioni.

Immagine hackertramite Shutterstock