Se ricordi qualche tempo fa, abbiamo parlato di come fosse apparso in rete un nuovo Trojan programmato per rubare bitcoin su computer infetti.
Nello specifico, si tratta del Trojan OSX / Coin Thief e finora è stato distribuito con quattro nomi diversi tra cui BitVanity, StealthBit, Bitcoin Ticker TTM e Litecoin Ticker.
Tra tutte queste varianti di nomi sappiamo che quelle corrispondenti a BitVanity e StealthBit sono state distribuite tramite la piattaforma Github, mentre Bitcoin Ticker TTM e Litecoin Ticker hanno fatto lo stesso tramite Download.com e MacUpdate.com rispettivamente.
La cosa divertente è che questi nomi sono stati scelti tra applicazioni legittime del Mac App Store con l'unico ovvio scopo di ingannare l'utente, tuttavia la cosa peggiore non è questa ma che quando viene eseguito in background installa un'estensione nel browser, o Chrome, Safari o Firefox.
Una volta installato vedremo qualcosa di simile "Blocco popup 1.0.0" ma nulla è più lontano dalla verità, dal momento che comunicherà semplicemente da remoto con un server per cercare di raccogliere le chiavi di accesso non appena si accede a un sito Web relativo a Bitcoin, lasciando il processo dannoso in background permanentemente attivo attraverso un avvio di attività.
Per sbarazzarsene dovremo seguire questi semplici passaggi:
- Cercheremo il processo "com.google.softwareUpdateAgent" tramite Activity Monitor nella cartella Utilità.
- Verifica che abbiamo l'estensione "Pop-Up Blocker" in Safari, Chrome o un altro browser, con il suddetto processo presente in Activity Monitor, dobbiamo eliminarlo.
- Useremo i comandi nel terminale per questo, anche se prima dovremo eliminare BitVanity, StealhBit ... o qualsiasi programma che è stato installato, trascinandolo nel cestino.
- Apriamo il terminale e inseriamo questo comando:
launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Ciò interromperà il processo dannoso che sta correndo dietro sebbene possa essere il caso che restituisca un "Nessun file o directory di questo tipo, non è stato trovato nulla da scaricare", quindi indicherebbe che tale processo non è in esecuzione sebbene non sia sufficiente per controllarlo. - Il passaggio successivo è spostare il file o il malware stesso sul desktop e successivamente eliminarlo trascinandolo nel cestino con il seguente comando:
mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Finalmente dovremo solo farlo passare al desktop allo stesso modo il file che richiama launchd, che è il processo in background che comunica con il server remoto:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Resta solo da eliminare qualsiasi traccia dell'estensione nel browser Pop-Up Blocker e saremmo pronti per navigare "più rilassati".
Maggiori informazioni - Viene visualizzato un Trojan in grado di rubare Bitcoin dai Mac