loading...

Několik fakt o hrobách na Mac OS

Exituje malware pro Mac OS?

Množství škodlivého kódu pro Mac je v porovnání s ostatními platformami (zejména Windows) stále zanedbatelné. Nicméně toto množství pomalu, ale jistě roste a škodlivý kód může nechráněný operační systém poškodit.

Musím mít na Mac OS antivirový program?

Pravdou je, že žádný operační systém není 100% bezpečný. A i kdyby programátoři odvedli dokonalou práci, stále existují aplikace jako je Java/Java Virtual Machine, které mohou být zneužity pro vstup malwaru do operačního systému. Antivirový program přidává do systému další bezpečnostní vrstvy a tím snižuje riziko nákazy.

Jak to začalo?

První vzorky škodlivého kódu pro Mac OS X byly objeveny v roce 2004 OSX/Opener (Renepo). O dva roky později je, společně s dalšími hrozbami, následován virem OSX/Leap.A. Množství nového malwaru pro Mac se každým rokem zvětšuje.

Je můj Mac ohrožen malwarem pro Windows?

Škodlivý kód pro Windows nepředstavuje pro Mac bezpečnostní hrozbu, i když v některých případech je Mac používán jako šiřitel malwaru. Nevědomky tak můžete odesílat nakažené soubory na ostatní počítače v síti.

Jak nebezpečný je malware pro Mac OS X?

V laboratořích ESET bylo v minulých letech detekováno přes deset nových druhů hrozeb pro Mac. Například trójský kůň Flashback infikoval stovky tisíc počítačů.

Historie hrozeb na Mac OS

  • 2004

    • Amphimix (koncept MP3)

    • Opener (Renepo)

  • 2005

  • 2006

    • Leap

    • Inqtana

  • 2007

    • Jahlav (RSPlug)

  • 2008

    • MacSweep

    • iMunizator

  • 2009

    • Tored

  • 2010

    • Hovdy

    • HellRTS (HellRaiser)

    • OpinionSpy

    • Boonana

  • 2011

    • BlackHole (darkComet, MusMinim)

    • MacDefender

    • Olyx

    • Flashback

    • Revir a Imuler

    • Devilrobber (Miner)

    • Tsunami (Kaiten)

  • 2012

    • Sabpab

    • Morcut (Crisis)

    • Lamadai

  • 2013

    • Kitm and Hackback

    • Yontoo

    • Minesteal a.k.a. Minesweep

    • OSX/Fucobha (Icefog)

    • OSX/Pintsized

  • 2014

    • OSX/LaoShu

    • OSX/Appetite (Mask, Careto)

    • OSX/CoinThief

Amphimix (koncept MP3)

První škodlivý kód pro OS X

Ačkoli šlo pouze o Proof of Concept (PoC), česky o ověření funkčnosti, jde o první, oficiálně uváděný škodlivý kód pro platformu Mac.

Trojan se maskoval jako mp3 soubor, který po spuštění zobrazil okno s textem “Yep this is an application. (So what is your iTunes playing right now?)” a spustil 4 sekundový audio klip.

Amphimix

Opener (Renepo)

Shell skript s funkcí vzdáleného přístupu

Opener vyžadoval k instalaci administrátorská práva a fyzický přístup. Od verze 2.3.8 obvykle kradl a následně odesílal různá data od konfigurací systému, informací o aplikacích až po hesla.

Jak je vidět níže, tvůrci se inspirovali u autora se jménem DimBulb.

########################################################################
# opener 2.3.5a - a startup script to turn on services and gather user info & hashes for Mac OS X
########################################################################
# Originally written by DimBulb
# Additional code: hard-mac, JawnDoh!, Dr_Springfield, g@pple
# Additional ideas and advice: Zo, BSDOSX
# This script runs in bash (as is noted by the very first line of this script)
# To install this script you need admin access or
# physical access (boot from a CD or firewire/usb, ignore permissions on the internal drive) or
# write access to either /Library/StartupItems /System/Library/StartupItems or
# write access to any existing StartupItem (which you can then replace with this script) or
# write access to the rc, crontab, or periodic files (and have them run or install the script) or
# you could trick someone who has an admin account into installing it.
# It should go in /System/Library/StartupItems or /Library/StartupItems (when it is executed it
# will move itself to /System/Library/StartupItems)
# Since it is a StartupItem it will run as root - thus no "sudo" commands are needed. If you run
# it as any other user most of the commands will generate errors! (You could sudo ./opener)
# Save start time and date for performance testing

Leap

První červ pro OS X

Leap se objevil na začátku roku 2006 a získal si velkou mediální pozornost. Maskoval se jako soubor jpg, který měl obsahovat aktuální obrázky operačního systému Leopard Mac OS X 10.5 a šířil se přes iChat messenger.

Škodlivý kód vyžadoval interakci uživatele a po spuštění nakazil všechny soubory nalezené na disku.

Inqtana

Další Proof of Concept, který zneužíval chybu spojenou s Bluetooth

Byl napsán v Javě a šířil se přes chybu v Bluetooth systému firmy Apple, která byla následně odstraněna výrobcem (2005 – 2006). Kód byl aktivní ihned po každém spuštění systému.

Kód se šířil posíláním OBEX push požadavků do dalších Bluetooth zařízení, ale šíření bylo omezeno díky použití časově omezené verze knihovny, což v reálu znamenalo, že k nakažení nemohlo dojít po 24. únoru 2006.

Další verze viru Inqtana.D již nevyžadovala interakci uživatele a funkce vzdálené kontroly byly dostupné nejen přes Bluetooth, ale i Ethernet a Airport.

Jahlav (RSPlug)

DNS Changer

Škodlivý kód, který mění nastavení DNS obsahuje binární soubory detekované jako OSX/Jahlav, OSX/DNS Changer, OSX/Poper, OSX/RSPlug atd. Tato skupina je také příbuzná s virem Zlob, která má podobné funkce a cíle na platformě Windows. Malware se obvykle nachází v DMG souboru, který obsahuje instalační balíček install.pkg.

Do počítače se ve většině případu dostává jako součást jiného škodlivého kódu. Účelem je měnit nastavení DNS a tím počítači vnutit např. podvodný obsah na internetu. Zajímavostí je polymorfismus na straně serveru, který generoval stále nové binární soubory viru, aby se vyhnul detekci antivirovým programem.

Podrobný popis hrozby:

Články s podobným tématem (v angličtině):

MacSweep

První scareware pro OS X

Tento škodlivý kód je také znám jako Troj/MacSwp-A, OSX_MACSWEEP a byl poprvé detekován v lednu 2008. Šlo o první scareware (podvodná bezpečnostní aplikace) pro OS X.

Většinu poznatků o OSX/MacSweep lze také aplikovat na jiný malware iMunizator a někteří výrobci bezpečnostních programů označují iMunizator jako OSX/MacSweep.B. Oba obsahovaly téměř identické grafické prostředí a stejná hlášení o potřebě zbavení se podezřelých souborů na počítači. Malware se vydával za bezpečnostní balíček 3 v 1, kdy měl obsahovat ochranu internetu, operačního systému a optimalizaci výkonu počítače. MacSweep označoval legitimní aplikace jako hrozby a pro odstranění bylo samozřejmě potřeba program zakoupit.

iMunizator

Podvodná bezpečnostní aplikace

Tento malware se také někdy označuje jako OSX/Imunisator, Troj/MacSwp-B, OSX_MACSWEEP.B, OSX/AngeloScan a byl poprvné zaznamenán na konci března 2008.

iMunizator se stejně jako MacSweep vydával za bezpečnostní aplikaci 3 v 1, která měla obsahovat ochranu internetu, operačního systému a optimalizaci výkonu. Po instalaci se objevilo hlášení o potřebě odstranit nalezené podezřelé soubory.

Malware označoval legitimní soubory typu koš za podezřelé a požadoval jejich odstranění, za které však uživatel již musel zaplatit.

iMunizator

Tored

E-maliový červ

Další Proof of Concept malware byl objeven v roce 2009 a dostal označení Mac/Tored.AA. Jméno je odvozeno od originálního jména nalezeného v binárním souboru (OSX.RaeDbot). Tento červ byl schopen šířit se přes email pomocí vlastního SMTP enginu.

Mimo to mohl kontaktovat řídící server, ze kterého stahoval nové aktualizace nebo funkce. K masovému rozšíření však nedošlo.

Hovdy

Spyware

Rodina škodlivého kódu OSX/Hovdy je sbírka skriptů určených k získavání uživatelsky citlivých informací a jejich následnému odeslání útočníkovi.

V některých variantách, kterých bylo minimálně tucet, se získané informace odesílaly přímo mailem s předmětem Howdy. Jednotlivé varianty malwaru se od sebe lišily nejen funkcemi, ale také programovacími technikami (Bash vs. AppleScript).

HellRTS (HellRaiser)

Backdoor trojan

HellRaiser byl trójský kůň, který kradl hesla a umožnil útočníkovi vzdáleně kontrolovat počítač. Získané informace (včetně souborů a snímků obrazovek) se odesílaly na řídící server přes protokoly HTTP, FTP a SMTP.

K získání citlivých informací používal následující dialogové okno:

iMunizator

Mimo výše popsanou činnost dále útočník mohl:

  • spouštět soubory
  • používat shell příkazy
  • vypnout/ zapnout počítač
  • odhlásit přihlášeného uživatele
  • poslat data k tisku
  • otevřít specifickou URL adresu
  • měnit hlasitost
  • otevírat CD/DVD mechaniku
  • přehrát video nebo zvuk
  • používat internetový prohlížeč
  • sledovat dění na obrazovce

Popis hrozby:

OpinionSpy

Spyware s funkcemi vzdáleného přístupu a kontroly

Tento malware byl poprvé zaznamenán na začátku června 2012 a byl spojen se softwarem PermissionResearch nebo PremierOpinion.

Spyware se maskoval jako marketingový nástroj pro průzkum trhu a byl nabízen jako součást instalace šetřiče obrazovky. Šlo o klasický backdoor tzn. útočník mohl počítač vzdáleně ovládat.

OpinionSpy

Popis hrozby:

Články s podobným tématem (v angličtině):

Boonana

Trojský kůň na sociálních sítích

Na Javě založený trójský kůň zaútočil na platformy Mac, Linux a Windows v říjnu 2010. Šířil se přes sociální sítě pomocí technik sociálního inženýrství.

Pro spuštění podvodného videa s názvem „ Jsi to opravdu ty? “ byla požadována instalace speciálního softwaru.

Boonana

Pokud se uživatel nechal nalákat, systém byl infikován a došlo ke změně nastavení systému a útočník získal plný přístup do systému. Navíc se Boonana v pravidelných intervalech připojoval k řídícímu serveru (standardní součást botnetové sítě).

Boonana

Články s podobným tématem (v angličtině):

BlackHole (darkComet, MusMinim)

Multifunkční trójský kůň s funkcí vzdáleného přístupu

Tento RAT (Remote Access Tool neboli nástroj pro vzdálený přístup) se objevil na začátku roku 2011. Sami autoři ho označili za betaverzi:

“Welcome to BlackHole RAT. Now this is the Beta Version, and there are funktions. Have Fun;)“

BlackHole

Ačkoli uživatelské rozhraní obsahovalo i německá slova Ablage a Bearbeiten, což vedlo ke spekulacím o jeho původu, většina hlášení byla v angličtině.

“…I am a Trojan Horse, so i have infected your Mac Computer. I know, most people think Macs can’t be infected, but look, you ARE Infected!”

BlackHole

Komentáře v kódu naznačovaly, že by se měla v budoucnu objevit stabilnější verze.

So, Im a very new Virus, under Development, so there will be much more functions when im finished.

Nicméně projekt darkComet RAT byl zrušen v červnu 2012.

BlackHole umožňoval:

  • spouštět příkazy shell
  • používat internetový prohlížeč
  • vytvářet textové soubory
  • vypnout/zapnout počítač
  • získat administrátorská hesla

Je potřeba zmínit, že mimo název nemá tento malware nic společného se známým Black Hole exploit kitem.

Popis hrozby:

MacDefender

První masově rozšířená malware pro OS X

Tento falešný antivirus je znám pod různými názvy. Mimo MacProtector také jako MacDetector, MacSecurity, Apple Security Center, MacGuard, a MacShield. Objevil se v květnu 2011 a jde pravděpodobně o nejrozšířenější falešný antivirus na platformě Mac.

Infekce se šířila přes podvodné výsledky hledání obrázků. Pokud došlo k použití podvodného odkazu, uživateli se na obrazovce objevil falešný antivirus s mnoha nalezenými hrozbami.

MacDefender

Nezáleželo na tom, zda uživatel požadované změny odsouhlasil nebo odmítl, k instalaci softwaru došlo v obou případech a konečným krokem bylo samozřejmě zaplacení produktu.

MacDefender

Postupem času bylo grafické rozhrání změněno tak, aby více odpovídalo OS X grafice. Společně s tím se měnily i funkce, kdy uživatel mohl být požádán například o zadání administrátorského hesla.

MacDefender

Články s podobným tématem (v angličtině):

Olyx

Backdoor se vzdáleným přístupem

Olyxem infikovaný počítač může útočník vzdáleně ovládat, zároveň se Olyx připojuje k řídícímu serveru a aktualizuje své funkce.

Pro přístup do systému využívá chyby v Javě. Malware obsahuje ip adresu, na kterou se snaží připojit přes port 80 za použití TCP.

Olyx

Olyx může provést následující operace:

  • stáhnout soubory z řídícího serveru nebo internetu
  • odesílat data
  • různé systémové operace
  • spuštět příkazy shell

Popis hrozby:

Flashback

Největší dosud známý botnet

OSX/Flashback.A je trójský kůň, který zapojuje nakažený počítač do botnetové sítě. Ke svému šíření používá techniky sociálního inženýrství.

Malware se prezentoval profesionálním vzhledem instalačního okna a po odsouhlasení došlo k instalaci funkcí vzdáleného přístupu přes dynamickou knihovnu Preferences.dylib. Pro komunikaci s řídícím serverem používá šifrování RC4 a odesílá podrobnosti o MAC adrese, verzi OS, UUID a další.

Pozdější varianta využívala bezpečnostní chybu v Javě CVE-2012-0507. K instalaci viru tak již nebyla nutná uživatelem provedená akce.

Instalační okno Flashbacku:

Flashback

In September 2012, ESET released a comprehensive technical analysis of the Flashback threat.

Popis hrozby:

Články s podobným tématem (v angličtině):

Revir a Imuler

Dropper/downloader s funkcí vzdáleného přístupu

Tento škodlivý kód se šíří pomocí nakaženého souboru pdf, lépe řečeno se za pdf soubor vydává.

Po otevření se sice zobrazí čínský text, ale na pozadí se instaluje trójský kůň Imuler. Ten umožňuje útočníkovi vzdálený přístup a sám komunikuje s řídícím serverem (C&C).

Malware může provádět následující akce:

  • snímat obrazovku
  • odesílat soubory a informace na vzdálený počítač
  • stahovat soubory z řídícího serveru nebo internetu
  • spouštět soubory
  • extrahovat zip soubory

Popis hrozby:

Články s podobným tématem (v angličtině):

Devilrobber (Miner)

Spyware s funkcí šíření na P2P sítích (torrent)

Program se šířil skrytě jako součást legitimního grafického editoru GraficConverter. Nakažené kopie dostaly na sítě se sdílením obsahu jako je například PirateBay. Stejně jako řada dalších trojanů pro OS X se Devilrobber ihned ukončí, pokud je na počítači instalován Little Snitch. Jinak se spouští při každém restartu počítače.

Malware může provádět tyto akce:

  • otevírat a odposlouchávat porty pro řídící server
  • zneužít platební software Bitcoin
  • odesílat citlivá data včetně uživatelských hesel, historie prohlížeče a snímků obrazovky
  • v některých případech hledá materiál týkající se zneužívání dětí

Popis hrozby:

Tsunami (Kaiten)

Přes IRC kontrolovaný malware s funkcí vzdáleného přístupu

Škodlivý kód Tsunami útočníkovi po nákaze umožňuje použít počítač pro DDoS (Distributed Denial of Service) útoky na různé cíle.

Malware je v podstatě inovací staršího malwaru určeného pro Linux (tam se jmenoval Kaiten), který byl rekompilován pro použití na platformě OS X.

Tsunami

Mimo DDoS útoky měl Tsunami díky schopnosti spouštět příkazy shell potenciál i pro jiné typy útoků. Také podobně jako většina škodlivého kódu odesílal na řídící server různé citlivé informace.

Popis hrozby:

Články s podobným tématem (v angličtině):

Sabpab

Trójský kůň s funkcí vzdálené kontroly

Tento malware podobně jako mnohé další viry pro OS X využívá bezpečnostní chybu v Javě CVE-2012-0507. Umožňuje vzdálený přístup a kontrolu nakaženého počítače.

Sabpab může provést následující akce:

  • odeslat seznam soubory na konkrétním pevném disku
  • odesílat soubory útočníkovi
  • stahovat soubory z řídícího serveru nebo internetu
  • spouštět soubory
  • snímat obrazovku

Virus se poprvé objevil v březnu 2012. Některé analýzy ukazují na propojení SabPabu (nebo SabPub) s útoky APT Luckycat a útoky na tibetské aktivisty. Pozdější varianty používají bezpečnostní chybu v MS Word CVE-2009-0563.

Popis hrozby:

Morcut (Crisis)

Multiplatformní trójský kůň

Morcut je virus, speciálně určený pro operační systémy Snow Leopard a Lion. Počítač infikuje bez nutnosti uživatelské interakce. Nicméně prozatím nedošlo k masivnímu šíření, vzorky byly pouze objeveny na virustotal.com.

Škodlivý soubor JAR obsahuje Java soubor, která si zavolá WebEnhancer a zkontroluje, zda Java Virtual Machine běží pod Windows nebo OSX. Pokud je JVM spuštěn ve Windows, nainstaluje verzi viru Swizzor, pokud v OS X, nainstaluje OSX/Crisis. Spektrum škodlivých činnosti viru je velice široké. Od odesílání citlivých dat, sledování klávesnice, myši, spuštěných procesů až po IM transakce.

Články s podobným tématem (v angličtině):

Lamadai

Backdoor cílený na tibetské nevládní organizace

Virus se šířil prostřednictvím podvodných internetových stránek se škodlivým obsahem, kam byla nic netušící oběť nalákána. Lamadai využíval bezpečnostní chybu v Javě CVE-2011-3544 .

OSX/Lamadai má v sobě zabudovanou funkce typické pro backdoor viry. Vzdálený přístup, odesílání citlivých dat útočníkovi, stahování aktualizací z řídícího serveru, spouštění příkazu v příkazovém řádku a podobně.

Dropper byl posílán také na počítače s OS Linux, jelikož však byl obsah určen pouze pro OS X, k nakažení nedošlo. Zvláštností byl způsob kompilace. Lamadai respektive jeho Mach-O soubory byly pouze 64 bitové, což není pro Mach-O formát obvyklé. Ten běžně obsahuje 32 i 64 bitové spustitelné soubory.

Popis hrozby:

Články s podobným tématem (v angličtině):

Kitm and Hackback

Malware families with spying capabilities tied to Operation Hangover and the attack against an activist at the Oslo Freedom Forum

OSX/Kitm is a backdoor that can be used for spying on the victim. It has the capability to run additional executables sent by the attacker on the infected computer, thus expanding its functionality. The trojan is also able to create screenshots and send these to a remote computer.

It modifies the /Users/%username%/Library/Preferences/com.apple.loginitems.plist file to ensure its execution on every system start:

OSX/Hackback is a trojan with similar functionality to OSX/Kitm, most likely created by the same malware-writer.

These malware families have been tied to malware operations Operation Hangover and the espionage targeted attack against an activist at the Oslo Freedom Forum.

ESET threat descriptions:

Related blogs:

Yontoo

A dubious browser plug-in serving advertisement with content-injecting and redirecting capabilities

OSX/Adware.Yontoo is an example of grayware and Potentially Unwanted Applications (PUAs) hitting OS X as well as Windows.

On OS X, the malware takes form of a plug-in or extension for one of the popular browsers: Safari, Chrome or Firefox.

The purpose of the plug-in is to serve advertisements. It has the characteristic traits of a trojan, with the ability to inject content into displayed web-pages and redirect users to arbitrary sites.

As is the case with other grayware, Yontoo also appeared as a legitimate company and was surrounded by heavy speculation regarding the usefulness or maliciousness of their software.

Apple has released updated XProtect malware definitions to protect against this bogus Yontoo (identified as “OSX.AdPlugin.i”)

ESET threat descriptions:

Related blogs:

Related white papers:

Minesteal a.k.a. Minesweep

A cross-platform Trojan written in Java targeting online gamers

Similar to the notorious Win32/PSW.OnlineGamesfamily on Microsoft Windows, Java/Spy.Minesteal is also a threat targeting online gamers.

The trojan steals login credentials for the game Minecraft. It masquerades as a “Minecraft Hack Kit” offering players additional in-game options.

Written in Java, the cross-platform trojan can affect both OS X and Windows.

ESET threat descriptions:

OSX/Fucobha (Icefog)

An espionage backdoor used in targeted attacks against Asian corporations and governments.

This is the OS X version of malware used in targeted attacks against several targets in Eastern Asia. Windows trojans have also been used in these attacks. According to our observations, the Fucobha malware operators selectively target their victims.

The malware is designed to steal sensitive information and leaves almost no trace on the compromised system.

OSX/Fucobha

The malware has spread disguised as legitimate OS X applications, for example Img2icns, AppDelete and CleanMyMac. Upon infection it installs a backdoor on the target computer. OSX/Fucobha has mostly been detected in China but we’ve received ESET LiveGrid® reports from other countries as well.

For espionage purposes the malware is capable of:

  • Hijacking email account credentials and passwords to various network resources on the company LAN
  • Sending arbitrary documents and files from the infected computer to its Command and Control (C&C) server
  • Collecting system information from the infected computer
  • Running arbitrary shell commands and database queries on the infected system
  • Downloading remote files from the C&C and executing them

OSX/Pintsized

A backdoor using Perl scripts and native Mach-O binaries.

The backdoor dubbed Pintsized consists of two components: Perl scripts stored in .plist files and a Mach-O binary.

The backdoor dubbed Pintsized consists of two components: Perl scripts stored in .plist files and a Mach-O binary. After infection, a reverse shell is opened on the compromised machine, granting attackers remote access to the system.

OSX/Pintsized

OSX/Pintsized uses modified versions of OpenSSH, named “cupsd”, to encrypt the network communication with the C&C server using an embedded RSA key.

On a compromised system the modified version of OpenSSH is located in: “/Users/[USER NAME]/.cups/cupsd“.

OSX/LaoShu

A trojan distributed via fake delivery notice emails

OSX/LaoShu.A has been spreading by a fake email from FedEx notifying the recipient about an undelivered item. The user is instructed to click on a link for more information about the delivery. Although the email appears to link to a PDF document on a legitimate FedEx domain, clicking on the link directs the victim to an application hosted on the attacker's server.

The downloaded file is an application but uses a PDF document icon to mislead the user. After launching the file, however, OS X will notify the user that it is, in fact, an application. Interestingly, this piece of malware is digitally signed in order to bypass Gatekeeper security on Mac OS X 10.8 and 10.9.

When executed, OSX/LaoShu can perform a variety of malicious actions, such as:

  • Download files from the Command and Control (C&C) server and execute them on the target computer.
  • Upload files found on the target computer to the C&C.
  • Run arbitrary shell commands.

OSX/Appetite (Mask, Careto)

The OS X component used in cyber-espionage attacks against multiple targets.

OSX/Appetite is the Mac OS X component reported in targeted attacks against multiple government, diplomatic, corporate and other targets.

The sophisticated threat also comprises of Windows components and utilizes rootkit and bootkit techniques.

The OS X backdoor connects to a Command and Control (C&C) server and awaits commands from the attacker. It can perform the following malicious actions:

  • Execution of arbitrary programs on the local computer
  • Execution of arbitrary shell commands

OSX/CoinThief

Malware designed to steal Bitcoins with additional backdoor functionality.

CoinThief is a malware package designed to steal Bitcoins from the victim, consisting of a binary patcher, browser extensions, and a backdoor component.

The trojan has been spreading using several different methods: on Github (where the trojanized compiled binary didn’t match the displayed source code), on popular and trusted download sites – CNET's Download.com and MacUpdate.com, and as cracked applications via torrents. Multiple legitimate applications have been abused to camouflage the trojan. Some examples include: Bitcoin Ticker TTM (To The Moon), BitVanity, StealthBit, Litecoin Ticker, BBEdit, Pixelmator, Angry Birds and Delicious Library.

The patcher‘s role is to locate and modify legitimate versions of the Bitcoin-Qt wallet application. The analyzed malware samples have targeted versions of Bitcoin-Qt 0.8.1, 0.8.0 and 0.8.5. The earlier patch modified Bitcoin-Qt adding malicious code that would send nearly all the victim’s Bitcoins to one of the hard-coded addresses belonging to the attacker. The malicious transaction would take place only if the victimized wallet contained at least 2BTC.

The browser extensions target Chrome and Firefox and are disguised as a “Pop-up blocker”. The extensions monitor visited websites, download malicious JavaScripts and inject them into various Bitcoin-related websites (mostly Bitcoin exchanges and online wallet sites). The injected JS scripts were able to modify transactions to redirect Bitcoin transfers to an attacker’s address or simply harvest login credentials to the targeted online service.

Furthermore, the backdoor component enables the attacker to take full control over the victim’s computer. Based on our analysis the backdoor can perform the following actions:

  • collect information about the infected computer, the user and installed software
  • execute arbitrary shell scripts on the target computer
  • upload an arbitrary file from the victim’s hard drive to a remote server
  • update itself to a newer version

OSX/CoinThief

Related blogs: