ПО для мониторинга курса криптовалют тайно устанавливает бэкдоры на Mac
Был ли CoinTicker вредоносным изначально, или его взломали злоумышленники, неизвестно.
Злоумышленники устанавливают бэкдоры на компьютеры под управлением macOS под видом приложения для мониторинга курса криптовалют CoinTicker. Установив CoinTicker, пользователь может указать, какие криптовалюты его интересуют, и следить за их курсом. На панели меню macOS появится небольшой виджет, отображающий изменения в курсе. Это весьма удобно, если не учитывать тот факт, что в фоновом режиме приложение незаметно загружает два бэкдора, позволяющих злоумышленникам получать удаленный контроль над зараженными компьютерами.
«После запуска приложение загружает и устанавливает компоненты двух разных бэкдоров с открытым исходным кодом – EvilOSX и EggShell», – сообщил Томас Рид (Thomas Reed) из Malwarebytes.
Бэкдоры загружались из репозитория GitHub (в настоящее время репозиторий уже удален). Сначала загружался EggShell. Загрузившись, вредонос создавал лаунчер для автоматического запуска после авторизации пользователя на зараженном компьютере. Затем с помощью обфусцированного скрипта EggShell загружал EvilOSX. Второй бэкдор также создавал лаунчер для автоматического запуска.
Был ли CoinTicker вредоносным изначально, или его скомпрометировали злоумышленники, неизвестно. На сайте отсутствует какая-либо контактная информация для связи с разработчиками, а есть только кнопка для загрузки. Из этого можно предположить, что CoinTicker изначально создавался для вредоносных целей.