Phần mềm độc hại mới cài đặt tiện ích mở rộng trình duyệt để đánh cắp ví bitcoin và thông tin tài khoản.
Trang web SecureMac có trojan mới tìm thấy nó nhắm mục tiêu cụ thể đến Mac OS X. Phần mềm giám sát lưu lượng truy cập internet và cố gắng đánh cắp bitcoin.
Trojan này được gọi là OS X/CoinThief.A và được ngụy trang dưới dạng ứng dụng OS X tiêu chuẩn (StealthBit) gần đây đã được tải lên Github. Chương trình này được mô tả như một cách để nhận thanh toán bitcoin thông qua Địa chỉ tàng hình Bitcoin, một phương thức mã hóa được sử dụng để bảo đảm chuyển bitcoin. Tuy nhiên, những người cài đặt thứ này cũng nhận được một trình theo dõi độc hại.
[related_article id=”161920″]
Trang dự án trên Github cũng liệt kê mã nguồn của chương trình, cùng với những mã đã được biên dịch nhị phân. Tuy nhiên, trong trường hợp này, tệp nhị phân đó không khớp chính xác với mã nguồn vì nó cũng chứa phần mềm độc hại.
Tiện ích mở rộng trình duyệt
Sau khi khởi chạy, phần mềm độc hại sẽ cài đặt tiện ích mở rộng trình duyệt trong thư mục Home và tiện ích mở rộng này sẽ hoạt động khi Safari hoặc trình duyệt khác được khởi chạy. Tiện ích mở rộng đó giám sát những trang web nào được truy cập và chi tiết đăng nhập nào được nhập. Khi nói đến bitcoin, thông tin đó sẽ được chuyển tiếp đến người lạ.
Để ẩn tiện ích mở rộng, những cái tên không đáng ngờ sẽ được sử dụng, chẳng hạn như Trình chặn cửa sổ bật lên. Đầu tiên, phần mềm này cũng tìm hiểu xem có phần mềm chống phần mềm độc hại trên máy tính hay không. Nếu vậy thì nó sẽ không tự cài đặt được.
Do giá bitcoin cao (khoảng 700 USD mỗi bitcoin), ngày càng có nhiều chương trình độc hại và cách thức khai thác hoặc đánh cắp tiền xu đang xuất hiện. CoinThief.A chỉ là sản phẩm mới nhất trong một hàng dài.
Chưa thấy cài đặt
Tại thời điểm này, không có nhiều thông tin về phần mềm cụ thể này, SecureMac và các chuyên gia bảo mật khác vẫn đang điều tra nó. Tuy nhiên, bất kỳ ai gần đây đã tải xuống công cụ bitcoin từ Github nên kiểm tra các tiện ích mở rộng trình duyệt của nó để xem liệu có thứ gì được cài đặt mà không được chú ý hay không.
Người dùng Safari thực hiện việc này bằng cách nhấp vào Tiện ích mở rộng trong Tùy chọn. Trong Firefox, chọn Tiện ích bổ sung từ menu Công cụ, trong Chrome, chọn Tiện ích mở rộng từ menu Cửa sổ. Nếu có những thứ không đáng tin cậy, bạn có thể loại bỏ chúng ngay lập tức, nhưng bạn phải kiểm tra thường xuyên xem chúng có xuất hiện trở lại hay không. Điều này cho thấy rằng bạn có thể đã bị nhiễm phần mềm độc hại được cài đặt lại nhiều lần.
Tác vụ nền
Phần mềm độc hại cài đặt các tác vụ nền tự động chạy khi người dùng đăng nhập vào tài khoản của họ. Loại điều đó được kiểm soát trong các tập lệnh Launch Agent mà bạn có thể tìm thấy trong Thư viện của mình trong LaunchAgents. Thông thường, chẳng hạn, Tác nhân khởi chạy được sử dụng để cảnh báo bạn về các bản cập nhật, nhưng tội phạm mạng cũng có thể sử dụng chúng để giữ cho phần mềm độc hại của chúng tồn tại.
Nếu bạn mở từng Launch Agent.plist, bạn có thể xem cái nào trong Đối số chương trình hoặc Chương trình thực thi được (và đường dẫn của nó) được kết nối với Tác nhân khởi chạy. Trên Apple Sau đó, bạn có thể kiểm tra các trang hỗ trợ để xem liệu đây có phải là tất cả kosher hay không.
Nghi ngờ? Sử dụng máy quét
Thật không may, việc phát hiện giả mạo Launch Agent đôi khi có thể hơi phức tạp, đặc biệt nếu Launch Agent và chương trình liên quan của nó được ngụy trang dưới dạng phần mềm hợp pháp. Vì vậy, nếu nghi ngờ, tốt hơn hãy sử dụng trình quét chống phần mềm độc hại gần đây đã được cập nhật để phát hiện CoinThief.
Khi các nhà nghiên cứu đã dành nhiều thời gian hơn cho phần mềm độc hại này, việc loại bỏ nó có thể sẽ trở nên dễ dàng hơn một cách nhanh chóng.
