SecureMac meldet, dass Bitcoin-stehlende Malware auf beliebte Download-Sites wie Download verbreitet wurde. com und MacUpdate, unter verschiedenen Namen. Wenn Sie denken, dass Ihr Computer infiziert sein könnte, machen Sie einen Screenshot der Anweisungen hier und trennen Sie sofort vom Internet.

Ein Mac OS X-Trojaner, der sich als private Bitcoin-Wallet-App tarnt, ist laut Mac-Sicherheitsforschern für "multiple" Bitcoin-Diebstähle verantwortlich.

SecureMac, eine Mac-Sicherheitsberatung, die die MacScan-Anti-Malware-Anwendung und Blogs über ihre Forschung entwickelt, veröffentlichte heute einen Bericht, der vor "CoinThief" warnt. EIN'.

Versteckt innerhalb der Open-Source OS X Bitcoin Wallet App StealthBit, CoinThief. A überwacht den Web-Verkehr der Benutzer, um Anmeldedaten für Software-Wallets und beliebte Bitcoin-Sites zu stehlen, einschließlich BTC-e, Mt. Gox und Blockchain. Info.

Die StealthBit-App war auf GitHub sowohl als Quellcode als auch als vorkompilierter Download verfügbar, aber die Seite wurde jetzt entfernt.

Update: Versionen der Malware wurden mit zahlreichen anderen Namen auf anderen beliebten Software-Download-Sites wie Download gefunden. com und MacUpdate. com. BitVanity und StealthBit wurden auf Github verteilt, während Bitcoin Ticker TTM und Litecoin Ticker auf Download verteilt wurden. com und MacUpdate. com. Es scheint, dass beide App-Namen aus legalen Apps im Mac App Store kopiert wurden, aber die schädliche Payload wurde nicht in den offiziellen Mac App Store-Kopien dieser Apps gefunden.

Nicht übereinstimmender Code

Der Verdacht entstand, als die Ermittler feststellten, dass die vorkompilierte Version nicht mit der Quelle übereinstimmte (die erfahrenere Benutzer selbst untersuchen konnten und vor der Verwendung kompilieren mussten). Die vorkompilierte Version enthielt die Malware, der Open-Source-Code dagegen nicht.

Im Bericht heißt es:

"Bei der ersten Ausführung des Programms installiert die Malware Browser-Erweiterungen für Safari und den Google Chrome-Webbrowser, ohne den Benutzer zu warnen. Die Webbrowser werden dazu verleitet, den Benutzer absichtlich zu denken installierte die Erweiterungen und warnte den Benutzer nicht davor, dass der gesamte Web-Browsing-Verkehr nun von den bösartigen Erweiterungen überwacht wird.

Zusätzlich installiert die Malware ein Programm, das kontinuierlich im Hintergrund nach Bitcoin Wallet-Anmeldedaten sucht , die dann an einen Remote-Server gesendet werden. "

Die Browsererweiterungen hatten harmlos klingende Namen wie" Pop-up-Blocker ", um eine Entdeckung zu vermeiden. Nach der Installation durchsucht der Trojaner das System nach Anti-Malware-Software und protokolliert eindeutige Identifikatoren (UUIDs) für jeden infizierten Computer.

Große Diebstähle

Mindestens ein Bitcoin Talk Forum-Benutzer hat nach der Installation von StealthBit einen satten 20-Bit-Diebstahl gemeldet, der auch auf Reddit gepostet wurde.

Andere Ermittler stellten einige Ähnlichkeiten zwischen StealthBit und Bitvanity fest, einer weiteren berüchtigten Mac-Malware, die im letzten August die Bitcoins der Nutzer gestohlen hat. Bitvanity stellte sich als Eitelkeitsanwendungs-Adressgenerator vor, der Adressen und private Schlüssel von Software wie dem Bitcoin-Qt-Client abräumte.

StealthBits GitHub-Code-Repository wurde unter dem Benutzernamen 'thomasrevor' gespeichert und ein reddit-Benutzer namens 'trevorscool' veröffentlichte am 2. Februar eine Ankündigung über seine Entwicklung. Im letzten Jahr wurde Bitvanitys GitHub-Code unter dem Namen Trevory veröffentlicht.

Wie bereits auf CoinDesk berichtet, gibt es für Malware- und Ransomware-Entwickler, die mit Bitcoin handeln, dank ihrer meist unregulierten und schwer zu verfolgenden Natur reiche Belohnungen. Komplizen können bezahlt und Lösegelder von überall auf der Welt gesammelt werden.

Open-Source-Sicherheit

Die Erkennung hat die Vorteile (und Probleme) von Open-Source-Software hervorgehoben. Obwohl die Malware nicht in der Open-Source-Version des Codes enthalten war, haben möglicherweise weniger fähige oder ungeduldige Benutzer die vorkompilierte Version auf GitHub noch immer als vertrauenswürdig eingestuft und ohne weitere Überlegung installiert.

Die "saubere" Open-Source-Version ermöglichte es Programmierern jedoch, innerhalb von Tagen nach ihrem Auftreten eine Diskrepanz zwischen den beiden Versionen zu finden, was zu schnellen Warnungen vor der Malware und hoffentlich weniger Infektionen führte.

Hacker-Image über Shutterstock