Une application pour Mac OS X installe sous Chrome et Safari une extension qui surveille l'activité de l'internaute sur les sites de Bitcoins les plus populaires, et envoie les identifiants saisis au hacker pour lui permettre de voler le contenu des portefeuilles.

S'il est fréquent d'entendre parler de virus et autres malwares sous Windows, l'événement est plus rare sur Mac. Le site SecureMac, dédié comme son nom l'indique à la sécurité sous les environnements Apple, rapporte qu'il a détecté la présence d'un nouveau cheval de Troie baptisé OSX/CoinThief.A, qui a pour fonction de voler les Bitcoins de ses victimes. En réalité, c'est moins le système d'exploitation d'Apple qui est attaqué que la naïveté de l'internaute.

En effet, selon SecureMac, le malware se cacherait au sein d'une application ("StealthBit") dédiée officiellement à rendre plus discrètes les transactions en Bitcoins. Mais plutôt que de faire uniquement son travail d'envoi et de réception de paiements, l'application surveillerait discrètement le trafic web de l'utilisateur pour dérober les identifiants permettant d'accéder à des portefeuilles de Bitcoins. Une méthode déjà vue sur Mac avec Bitvanity, qui semble avoir été réalisé il y a de nombreux mois par le même auteur.

StealthBit avait été publié sur GitHub, certainement pour rassurer les utilisateurs sur son contenu, puisqu'il était possible d'en vérifier le code source. Mais la version compilée fournie par l'auteur ne correspondait pas à la version compilée à partir du code source distribué sur Github. Depuis, la page du développeur a été supprimée.

Une fois installée, l'application vérolée ajoute discrètement une extension au navigateur Chrome ou Safari (un prétendu bloqueur de pop-ups) pour surveiller l'activité de l'internaute sur les sites de Bitcoins les plus populaires comme MtGox, BTC-e, ou blockchain.info. Lorsque l'utilisateur entre ses login et mot de passe, l'ensemble est capté et renvoyé vers un serveur distant.

Le malware dispose par ailleurs d'une fonctionnalité qui permet au développeur de le mettre à jour à distance.

Outre les identifiants de sites de portefeuilles Bitcoins, OSX/CoinThief.A renvoie également le nom d'utilisateur et l'identifiant unique de l'appareil Mac utilisé (UUID), et un listing des applications liées à BitCoin installées sur le Mac de la victime.

Partager sur les réseaux sociaux

Articles liés