Злоумышленники совершенствуют Bitcoin-майнер для Mac OS

Эксперты F-Secure обнаружили новую версию OSX-троянца, который использует вычислительные мощности зараженного компьютера для генерации биткойнов в пользу своих хозяев.

Первоначальный вариант зловредного майнера для Mac OS, известный как DevilRobber (в классификации ЛК Backdoor.OSX.Miner), объявился на торрент-трекерах в конце октября. Его компоненты скачали несколько пользователей The Pirate Bay в комплекте с копиями популярных легальных программ. DevilRobber обладает функционалом бэкдора, осуществляет сбор информации на зараженной машине и отправляет ее на удаленный ftp-сервер злоумышленника. При запуске троянец проверяет наличие Little Snitch (файервола) и производит установку лишь при его отсутствии. Он создает точку запуска ~/Library/LaunchAgents/com.apple.legion.plist и прописывается в домашней папке как ~/Library/mdsa1331.

Основным назначением DevilRobber является обеспечение процесса «чеканки» виртуальных монет на зараженном ПК. Его присутствие в системе выдает заметное увеличение нагрузки на графическую карту и ЦП. Зловред также делает скриншоты, копирует файлы Keychain, содержимое журнала Safari, историю введенных команд и опустошает электронный кошелек Bitcoin, если таковой имеется у пользователя. Он устанавливает прокси-сервер на одном из портов и прослушивает порт 34123 для получения команд с удаленного сервера.

Версия 3 этого троянца, которую проанализировали в F-Secure, тоже выдает себя за легальную программу, но прописывается в зараженной системе под другим именем ― PixelMator ― и распространяется с помощью даунлоудера. Инсталлятор бэкдора подгружается с удаленного ftp-сервера в результате активации DevilRobberV3 и сохраняется в памяти как binary.zip. Чтобы отыскать вредоносный комплект bin.cop в файлообменной сети, даунлоудер генерирует 3 URL с жестко прописанным в коде именем пользователя и паролем. По свидетельству экспертов, обновленного троянца уже не интересуют LittleSnitch и скриншоты. Он создает точку запуска под новым именем ― ~/Library/LaunchAgents/com.apple.pixel.plist, крадет историю команд, системные логи и данные из бесплатной утилиты управления паролями 1Password, а также содержимое Bitcoin-кошелька.