SecureMac ha descubierto un neuvo troyano que apunta hacia plataformas Mac OS X, espiando su tráfico web con el objetivo de robar Bitcoins.

El malware OSX/CoinThief.A ha sido encontrado campando a sus anchas en la red. Muchos usuarios han denunciado ya la desaparición de sus Bitcoins. Viene disfrazado como una aplicación que permite enviar y recibir pagos en Dirección Bitcoin Stealth, pero en su lugar monitoriza todo el tráfico de navegación para conseguir las credenciales de acceso a las "carteras Bitcoin".

La infección inicial ocurre cuando un usuario instala y ejecuta una aplicaicón llamada "StealthBit", que estuvo recientemente disponible para su descarga desde la popular web Github, donde se cuelgan proyectos Open Source (gratuitos). El código fuente de StealthBit fué publicado originalmente en GitHub, junto con una copia pre-compilada de la aplicación, disponible para su descarga.

La versión pre-compilada de StealthBit no correspondía con una copia generada con el código fuente, ya que contenía una carga maliciosa. Los usuarios que descargaron y ejecutaron esta versión, acabaron infectando sus sistemas. Un usuario, víctima de la tropelía, reportó el fin de semana pasado haber perdido 20 Bitcoins, equivalentes a ¡12000 dólares!

Disfrazada como una app que envía y recibe órdenes de pago en Direcciones invisibles de Bitcoin, OSX/CoinThief.A actúa como un "dropper" que descarga e instala extensiones en el navegador, las mismas que se encargarán posteriomente del espionaje del tráfico web. Roban credenciales de sitios web relacionados, como MtGox o BTC-e . además de sitios web que ofrecen carteras de almacenamiento de Bitcoins, como blockchain.info .

Cuando se identifican credenciales de acceso en uso, como las introducidas cuando queremos comprobar el saldo de Bitcoins, otro componente del malware envía la información a un servidor remoto controlado por los atacantes.

Cuando se ejecuta por primera vez, el malware instala extensiones de navegador para Safari y Google Chrome, sin alertar al usuario. Los navegadores son engañados (a su vez) para creer que el usuario ha dado su consentimiento para dicha instalación, por lo que no mostrará alerta alguna sobre la monitorización del tráfico web.

Por otro lado, el malware instala un programa que continuamente se ejecuta en segundo plano, buscando credenciales de inicio de sesión en " monederos Bitcoin ", que son remitidos al servidor de Comando y Control. OSX/CoinThief.A también puede recibir comandos del servidor, incluyendo la funcionalidad de actualizarse a sí mismo a nueva versión desde su autor.

La información que se extrae al usuario no se limita sólo a credenciales relacionadas con servicios de Bitcoin, sino que también incluye el nombre de usuario y el UUID (identificador único de usuario) del ordenador Mac infectado, junto a la información sobre qué apps relacionadas con Bitcoin están instaladas en el equipo.

Actúa de forma camaleónica

El autor del malware se ha tomado la molestia de camuflar bien su creación de análisis por parte del usuario. Las extensiones relacionadas con OSX/CoinThief.A reciben nombres genéricos del tipo "Pop-Up Blocker" y muestran una descripción acorde: "Bloquea pop-ups en Windows y otras molestias". Adicionalmente, el malware comprueba qué sistemas de seguridad o programas antivirus están instalados en el sistema, como medida para impedir que los responsables de estas aplicaciones sean capaces de analizar esta muestra.