Один из пользователей форума Malwarebytes начал бить тревогу после установки приложения CoinTicker, трекера цен криптовалют. Юзер под ником 1vladimir тут же опубликовал информацию о том, что программа скрытно устанавливает бэкдоры в компьютеры Mac. Проблема приобрела широкую огласку. В результате её быстро заметил глава Mac & Mobile Томас Рид.
Как не попасть на удочку мошенников
Рид пообещал заняться анализом вредоносного ПО, а затем опубликовал некоторую информацию в своём блоге.
Страница CoinTicker позиционирует приложение как "лучший трекер цен криптовалют для Mac". Веб-сайт демонстрирует курсы нескольких поддерживаемых монет. В их число также входят Биткоин, Эфириум и Монеро.
Безобидный на первый вид ресурс несёт серьёзную опасность для владельцев Mac. По словам Рида, приложение устанавливает сразу два опенсорсных бэкдора — EvilOSX и EggShell. Эксперт опубликовал несколько скриншотов процесса интеграции вредоносного ПО в компьютер.
Примечательно, что раньше коды EggShell и EvilOSX были расположены в одном из репозиториев GitHub. Бэкдоры CoinTicker являются усовершенствованными версиями, которые опубликовали на уже закрытом репозитории. Эти вредоносные программы могут интегрироваться в ПК пользователя для выполнения самого широкого спектра "задач".
Более подробный анализ инцидента провёл представитель компании Bleeping Computer Лоурэнс Абрамс. По его словам, пока неясно, чего именно хотел добиться создатель бэкдоров. Скорее всего, неизвестный хакер каким-то образом пытался получить доступ к криптокошелькам пользователей.
Чья это была затея? Томас Рид не исключает, что разработчики CoinSticker сами могли стать жертвой хакерской атаки, в ходе которой мошенники заменили оригинальное приложение на сайте. С другой стороны, домен coin-sticker.com был зарегистрирован в середине июля и не соответствует названию программы.
