Новая версия CoinThief заражает и операционную систему Mac. Вредоносная программа распространяется, используя уязвимость нулевого дня в браузерах.
Новая версия CoinThief заражает и операционную систему Mac. Вредоносная программа распространяется, используя уязвимость нулевого дня в браузерах.
0day (англ. zero day) — термин, обозначающий неустраненные уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы. (Википедия)
Новая версия OSX / CoinThief по-тихому заражает пользователей Mac, используя 0-дневные уязвимости, связанные с JavaScript, в двух основных браузерах (Gecko — Mozilla, Webkit — Chrome, Safari, Opera) без какого-либо взаимодействия с пользователем. OSX / CoinThief ранее был обнаружен securemac.com 12 февраля 2014 года и был распространен под разными именами. В то время вредоносное ПО распространялось через Github и сайты загрузки контента, такие как MacUpdate.com и Download.com.
16 ноября 2017 года специалисты Symantec обнаружили новую версию CoinThief (CoinThief v2), которая контролирует буфер обмена пользователя и отмечает его компьютер как «потенциальный», если копируется адрес кошелька любого типа. Были проверены следующие типы кошельков: BTC, ETH, DASH, Liticoin, Monero, NAM и многие другие. CoinThief глубоко внедряется в систему и, используя продвинутые механизмы, контролирует баланс кошельков с суммами выше 1000 долларов только для того, чтобы украсть деньги. В то время, когда статья писалась, более 145 BTC, 214 ETH и 21 LTC уже украдены хакерами. Apple были уведомлены об этом, и более подробная информация о вирусе будет раскрыта после расследования.
Потенциальными целями вредоносного ПО являются люди из криптовалютных сообществ и трейдеры, однако рекомендуется проверять компьютер на наличие заражения каждому пользователю Mac:
Выполните следующие команды в терминале:
- ls -al /Library/LaunchDaemons/com.cmtn.ctv2.plist
- ls -al / Library / PrivilegedHelperTools / ctv2
- ls -al /Library/Compositions/.userprofile
- ls -al /Library/Preferences/com.apple.SoftwareUpdate.plist
Если какой-либо из этих путей существует, ваша система заражена, но, к сожалению, это не все. Вредоносная программа также использует сложную технику под названием dylib hijacking, т. е. он внедряет свой вредоносный код в предустановленные приложения, такие как iTunes, так что даже после удаления вредоносного ПО из вышеупомянутых путей CoinThief можно переустановить простым запуском iTunes.
Курсы топ валют
Больше гайдов, новостей и обзоров на нашем сайте и каналах:
Telegram / ВКонтакте / Twitter!
💰 поддержать проект
