OSX-en támad a Bitcoin-tolvaj kártevő
A Mac-tulajdonosok Bitcoinjaira vadászik a legutóbb felfedezett, OS X-re készült malware. A rosszindulatú szoftver a felhasználók megfelelő belépési adatait szerzi meg, majd továbbítja a készítők szervereire, akik aztán meglovasítják a kriptovalutát.
Új trójai fenyegeti a Mac-felhasználókat, közülük is elsősorban a Bitcoin tulajdonosokat. A kártevő, amelyet a SecureMac fedezett fel, az online adatforgalmat kémleli, majd a felhasználó megfelelő azonosítóit begyűjtve lopja el a Bitcoinokat. A szoftver egy “Stealthbit” nevű alkalmazásnak álcázza magát, amellyel a felhasználók Bitcoin Stealth Addressekre küldhetnek és azokról fogadhatnak kifizetéseket. Ezek olyan Bitcoin-címek, melyekkel tranzakciók teljesen anonim módon hajthatók végre.
A kártékony program nemrég a nyílt forráskódú szoftverek megosztására szolgáló GitHubra is felkerült, noha a feltüntetett kód és a letölthető program valós tartalma nem egyezett meg, utóbbiba ugyanis már a rosszindulatú “tolvajfunkció” is bekerült. Így akik abban a hitben töltötték le a szoftvert, hogy az forrása alapján nem jelent veszélyt, tudtukon kívül is megfertőzték számítógépüket. Azt egyelőre nem tudni, hogy a malware-t létrehozó tolvajok pontosan mekkora összeget zsákmányoltak, a népszerű linkgyűjtő oldal, a Reddit egyik felhasználója szerint hétvégén mintegy húsz Bitcoinját lovasították meg, ami a jelenlegi árfolyamon több mint 13 ezer dollárnak (~2,9 millió forintnak) felel meg.
Bővítmények végzik a "piszkos munkát"
Az OSX/CoinThief.A névre keresztelt kártevő nem egyedül dolgozik, a Macekre kerülve ugyanis először bővítményeket telepít a Safari és Google Chrome böngészőkhöz, amelyek folyamatosan figyelik a felhasználó adatforgalmát, amiben bejelentkezési adatok után kutatnak a népszerű Bitcoin-kereskedő weboldalakhoz mint amilyen a MtGox vagy a BTC-e, illetve az online Bitcoin-tárcákhoz például a blockchain.infóhoz is - mindezt természetesen anélkül, hogy azt jeleznék a felhasználó felé. A módszerrel ráadásul a böngészők védelmi vonalait is sikerült megkerülni, így azok hagyják, hogy a bővítmények háborítatlanul folytassák a kémkedést.
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
Amikor az áldozat a fertőzött gépről bejelentkezik az online felületek valamelyikére, a malware másik fele egy a készítői által működtetett távoli szerverre továbbítja a belépéshez szükséges információkat. A kártevővel ráadásul egy további szoftver is települ, ami a bővítményekhez hasonlóan szaglászik, ám ez esetben a számítógépen tárolt Bitcoin-tárcához szükséges azonosítók után. Az OSX/CionThief.A amellett, hogy információkat küld a szervernek, utasítások fogadására is képes, így alkotói akár folyamatosan frissíthetik, illetve újabb funkciókkal egészíthetik ki.
A távoli szerverre továbbított adatok között a Bitcoinokra vonatkozó információkon kívül az adott Mac-hez tartozó felhasználónév és UUID, azaz a gép egyedi azonosítója is megtalálható, akárcsak a Bitcoinhoz kapcsolódó telepített alkalmazások listája. A malware készítői megpróbálták álcázni a szoftvert, a rosszindulatú bővítmények “Pop-Up Blocker” névre hallgatnak, a program ráadásul időről időre ellenőrzi, hogy a fertőzött Macen milyen biztonsági szoftverek vannak telepítve, hogy megakadályozza, hogy a kutatók információkat szerezzenek róla.