Aprèn a identificar i eliminar el troià 'lladre' de bitcoins

bitcoin-troià-eliminar-0

Si us recordeu fa ja un temps parlem de com havia aparegut per la xarxa un nou troià programat per robar bitcoins als equips infectats.

Concretament el troià es tracta de OSX / CoinThief i ha estat distribuït sota quatre noms diferents fins ara entre els quals es troben BitVanity, StealthBit, Bitcoin Ticker TTM i Litecoin Ticker.

Dentre totes aquestes variants de noms sabem que els corresponents a BitVanity i StealthBit es van distribuir a través de la plataforma Github , mentre que Bitcoin Ticker TTM i Litecoin Ticker van fer el mateix a través de Download.com i MacUpdate.com respectivament.

El curiós és que aquests noms es van triar d'aplicacions legítimes de la Mac App Store amb l'únic propòsit evident d'enganyar l'usuari, però el pitjor no és això sinó que quan s'executa en segon pla instal·la una extensió al navegador, ja sigui Chrome, Safari o Firefox.

Un cop instal·lat veurem alguna cosa com 'Pop-Up Blocker 1.0.0″ però res més lluny de la realitat, ja que simplement s'estarà comunicant en remot amb un servidor per intentar recopilar les claus d'accés tan bon punt s'accedeixi a una web relacionada amb Bitcoin, quedant el procés maliciós en segon pla permanent actiu a través d'una tasca launchd.

Per aconseguir eliminar-lo haurem de seguir aquests senzills passos:

  1. Buscarem el procés com.google.softwareUpdateAgent mitjançant el Monitor d'Activitat a la carpeta d'Utilitats.
  2. Comprovar que tenim l'extensió Pop-Up Blocker a Safari, Chrome o un altre navegador estant el procés anteriorment esmentat present al Monitor d'activitat haurem d'eliminar-lo.
  3. Usarem ordres a la terminal per a això, encara que abans haurem d'esborrar BitVanity, StealhBit… o qualsevol programa que s'hagi instal·lat, arrossegant-lo a la paperera.
  4. Obrim la terminal i introduïm aquesta ordre:
    launchctl unload ~/Library/LaunchAgents/com.google.softwareUpdateAgent.plist
    Això aturarà el procés maliciós que està corrent darrere encara que es pot donar el cas que ens torni un «No such file or directory, nothing found to unload» per la qual cosa indicaria que aquest procés no s'està executant encara que no està massa comprovar-ho.
  5. El següent pas és moure el propi fitxer o malware a l'escriptori per posteriorment eliminar-lo arrossegant-lo a la paperera amb la següent ordre:
    mv ~/Library/Application Support/.com.google.softwareUpdateAgent ~/Desktop/com.google.softwareUpdateAgent
  6. Finalment només haurem de moure a l'escriptori igualment el fitxer que invoca el launchd que és el procés en segon pla que es comunica amb el servidor remot:
    mv ~/Library/LaunchAgents/com.google.softwareUpdateAgent.plist ~/Desktop/com.google.softwareUpdateAgent.plist

Només queda eliminar qualsevol rastre de l'extensió al navegador de Pop-Up Blocker i ja estaríem llestos per navegar més tranquils.

Més informació – Apareix un troià capaç de robar Bitcoins dels Mac


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.