Szerző: Hlács Ferenc

2014. február 10. 11:40

OSX-en támad a Bitcoin-tolvaj kártevő

A Mac-tulajdonosok Bitcoinjaira vadászik a legutóbb felfedezett, OS X-re készült malware. A rosszindulatú szoftver a felhasználók megfelelő belépési adatait szerzi meg, majd továbbítja a készítők szervereire, akik aztán meglovasítják a kriptovalutát.

Új trójai fenyegeti a Mac-felhasználókat, közülük is elsősorban a Bitcoin tulajdonosokat. A kártevő, amelyet a SecureMac fedezett fel, az online adatforgalmat kémleli, majd a felhasználó megfelelő azonosítóit begyűjtve lopja el a Bitcoinokat. A szoftver egy “Stealthbit” nevű alkalmazásnak álcázza magát, amellyel a felhasználók Bitcoin Stealth Addressekre küldhetnek és azokról fogadhatnak kifizetéseket. Ezek olyan Bitcoin-címek, melyekkel tranzakciók teljesen anonim módon hajthatók végre.

A kártékony program nemrég a nyílt forráskódú szoftverek megosztására szolgáló GitHubra is felkerült, noha a feltüntetett kód és a letölthető program valós tartalma nem egyezett meg, utóbbiba ugyanis már a rosszindulatú “tolvajfunkció” is bekerült. Így akik abban a hitben töltötték le a szoftvert, hogy az forrása alapján nem jelent veszélyt, tudtukon kívül is megfertőzték számítógépüket. Azt egyelőre nem tudni, hogy a malware-t létrehozó tolvajok pontosan mekkora összeget zsákmányoltak, a népszerű linkgyűjtő oldal, a Reddit egyik felhasználója szerint hétvégén mintegy húsz Bitcoinját lovasították meg, ami a jelenlegi árfolyamon több mint 13 ezer dollárnak (~2,9 millió forintnak) felel meg.

Bővítmények végzik a "piszkos munkát"

Az OSX/CoinThief.A névre keresztelt kártevő nem egyedül dolgozik, a Macekre kerülve ugyanis először bővítményeket telepít a Safari és Google Chrome böngészőkhöz, amelyek folyamatosan figyelik a felhasználó adatforgalmát, amiben bejelentkezési adatok után kutatnak a népszerű Bitcoin-kereskedő weboldalakhoz mint amilyen a MtGox vagy a BTC-e, illetve az online Bitcoin-tárcákhoz például a blockchain.infóhoz is - mindezt természetesen anélkül, hogy azt jeleznék a felhasználó felé. A módszerrel ráadásul a böngészők védelmi vonalait is sikerült megkerülni, így azok hagyják, hogy a bővítmények háborítatlanul folytassák a kémkedést.

Amikor az áldozat a fertőzött gépről bejelentkezik az online felületek valamelyikére, a malware másik fele egy a készítői által működtetett távoli szerverre továbbítja a belépéshez szükséges információkat. A kártevővel ráadásul egy további szoftver is települ, ami a bővítményekhez hasonlóan szaglászik, ám ez esetben a számítógépen tárolt Bitcoin-tárcához szükséges azonosítók után. Az OSX/CionThief.A amellett, hogy információkat küld a szervernek, utasítások fogadására is képes, így alkotói akár folyamatosan frissíthetik, illetve újabb funkciókkal egészíthetik ki.

A távoli szerverre továbbított adatok között a Bitcoinokra vonatkozó információkon kívül az adott Mac-hez tartozó felhasználónév és UUID, azaz a gép egyedi azonosítója is megtalálható, akárcsak a Bitcoinhoz kapcsolódó telepített alkalmazások listája. A malware készítői megpróbálták álcázni a szoftvert, a rosszindulatú bővítmények “Pop-Up Blocker” névre hallgatnak, a program ráadásul időről időre ellenőrzi, hogy a fertőzött Macen milyen biztonsági szoftverek vannak telepítve, hogy megakadályozza, hogy a kutatók információkat szerezzenek róla.

a címlapról