Mac OS X-trojan probeert bitcoins te stelen
De website SecureMac heeft een nieuwe trojan gevonden die zich specifiek op Mac OS X richt. De software houdt internetverkeer in de gaten en probeert bitcoins te stelen.
De trojan heet OS X/CoinThief.A en is vermomd als een standaard OS X-applicatie (StealthBit) die recent werd geüpload naar Github. Het programma wordt omschreven als een manier om bitcoinbetalingen te ontvangen via Bitcoin Stealth Adresses, een encryptiemethode om bitcointransfers te beveiligen. Wie het ding installeert, krijgt echter ook een kwaadaardige tracker meegeleverd.
[related_article id=”161920″]
Op de projectpagina op Github staat ook de broncode van het programma, samen met de al gecompileerde binaries. In dit geval echter komt die binary niet overeen met de broncode, precies omdat hij ook de malware bevat.
Browserextensie
Zodra de malware wordt opgestart, installeert hij een browserextensie in de Home-map die actief wordt als Safari of een andere browser wordt opgestart. Die extensie houdt in de gaten welke sites worden bezocht en welke inloggegevens worden ingevoerd. Als het over bitcoin gaat, wordt die informatie doorgestuurd naar onbekenden.
Om de extensie te verbergen, worden er onverdachte namen gebruikt, zoals Pop-up Blocker. De software vist ook eerst uit of er antimalware op de computer staat. Is dat het geval, dan installeert hij zichzelf niet.
Door de hoge prijzen voor bitcoins (rond de 700 dollar per stuk) duiken er almaar meer kwaadaardige programma’s en manieren op om de munten ongezien te ontginnen of te stelen. CoinThief.A is maar de laatste in een lange rij.
Ongezien geïnstalleerd
Op dit moment is er nog niet zoveel bekend over dit specifieke stukje software, SecureMac en andere beveiligingsspecialisten zijn het nog altijd aan het onderzoeken. Wie echter recent een bitcointool van Github downloadde, doet er goed aan om zijn browserextensies te bekijken om te zien of er dingen tussen staan die ongezien werden geïnstalleerd.
Safari-gebruikers doen dat door in de Voorkeuren te klikken op Extensies. In Firefox kies je voor Add-ons in het Tools-menu, in Chrome selecteer je Extensies in het Venster-menu. Als daar zaken staan die niet vertrouwd zijn, kan je ze meteen verwijderen, maar je moet dan wel regelmatig nog eens gaan kijken of ze niet opnieuw opduiken. Dat duidt erop dat je waarschijnlijk met malware besmet bent die de installatie telkens opnieuw uitvoert.
Achtergrondtaken
De malware installeert achtergrondtaken die automatisch uitgevoerd worden wanneer gebruikers in hun accounts inloggen. Dat soort zaken wordt beheerd in Launch Agent-scripts die je vindt in je Bibliotheek onder LaunchAgents. Normaliter worden de Launch Agents gebruikt om je bijvoorbeeld op updates te wijzen, maar cybercriminelen kunnen ze dus ook inzetten om hun kwaadaardige software in leven te houden.
Als je elke Launch Agent.plist opent kan je bij Program Arguments of Program zien welke executable (en het bijhorende pad) met de Launch Agent verbonden is. Op de Apple Support-pagina’s kan je daarna checken of dit allemaal koosjer is.
Twijfel? Gebruik een scanner
Soms kan het helaas wel wat lastig zijn om geknoei met Launch Agents op te sporen, zeker als de Launch Agent en het bijhorende programma vermomd zijn als legitieme software. Wie dus twijfelt, gebruikt maar beter een recente antimalware-scanner die geüpdatet is om CoinThief op te sporen.
Zodra onderzoekers meer tijd hebben gestoken in deze malware zal het waarschijnlijk ook makkelijker worden om hem snel te verwijderen.