ПО для мониторинга курса криптовалют тайно устанавливает бэкдоры на Mac

Адрес документа: http://itsec.ru/newstext.php?news_id=125431

ПО для мониторинга курса криптовалют тайно устанавливает бэкдоры на Mac


30.10.2018



Злоумышленники устанавливают бэкдоры на компьютеры под управлением macOS под видом приложения для мониторинга курса криптовалют CoinTicker.

Установив CoinTicker, пользователь может указать, какие криптовалюты его интересуют, и следить за их курсом. На панели меню macOS появится небольшой виджет, отображающий изменения в курсе. Это весьма удобно, если не учитывать тот факт, что в фоновом режиме приложение незаметно загружает два бэкдора, позволяющих злоумышленникам получать удаленный контроль над зараженными компьютерами.

"После запуска приложение загружает и устанавливает компоненты двух разных бэкдоров с открытым исходным кодом – EvilOSX и EggShell", – сообщил Томас Рид (Thomas Reed) из Malwarebytes.

Бэкдоры загружались из репозитория GitHub (в настоящее время репозиторий уже удален). Сначала загружался EggShell. Загрузившись, вредонос создавал лаунчер для автоматического запуска после авторизации пользователя на зараженном компьютере. Затем с помощью обфусцированного скрипта EggShell загружал EvilOSX. Второй бэкдор также создавал лаунчер для автоматического запуска.

Был ли CoinTicker вредоносным изначально, или его скомпрометировали злоумышленники, неизвестно. На сайте отсутствует какая-либо контактная информация для связи с разработчиками, а есть только кнопка для загрузки. Из этого можно предположить, что CoinTicker изначально создавался для вредоносных целей.

 

Securitylab


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100