Se você se lembra, há algum tempo, falamos sobre como um novo cavalo de Troia programado para roubar bitcoins de computadores infectados apareceu na rede.
Especificamente, o Trojan é sobre OSX/Ladrão de Moedas e foi distribuído sob quatro nomes diferentes até agora, incluindo BitVanity, StealthBit, Bitcoin Ticker TTM e Litecoin Ticker.
Entre todas essas variantes de nomes, sabemos que aqueles correspondentes a BitVanity e StealthBit foram distribuídos através da plataforma Github, enquanto Bitcoin Ticker TTM e Litecoin Ticker eles fizeram o mesmo por meio de Download.com e MacUpdate.com, respectivamente.
O engraçado é que esses nomes foram escolhidos de aplicativos legítimos da Mac App Store com o único propósito óbvio de enganar o usuário, porém o pior não é isso, mas que quando é executado em segundo plano, ele instala uma extensão no navegador, ou Chrome, Safari ou Firefox.
Depois de instalado, veremos algo como 'Bloqueador de Pop-Up 1.0.0 ″ mas nada está mais longe da verdade, já que você simplesmente estará se comunicando remotamente com um servidor para tentar coletar as chaves de acesso assim que acessar um site relacionado ao Bitcoin, deixando o processo malicioso em segundo plano permanentemente ativo por meio de um lançamento de tarefa.
Para nos livrarmos dele, teremos que seguir estas etapas simples:
- Procuraremos o processo "com.google.softwareUpdateAgent" através do Activity Monitor na pasta Utilities.
- Verifique se temos a extensão “Pop-Up Blocker” no Safari, Chrome ou outro navegador, com o referido processo presente no Activity Monitor, devemos eliminá-lo.
- Para isso utilizaremos comandos no terminal, porém antes devemos deletar BitVanity, StealhBit ... ou qualquer programa que tenha sido instalado, arrastando-o para o lixo.
- Abrimos o terminal e digitamos este comando:
launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Isso vai parar o processo malicioso que está correndo atrás embora possa ser o caso de retornar um "arquivo ou diretório não encontrado, nada encontrado para descarregar", de forma que indicaria que o referido processo não está em execução, embora não seja suficiente verificá-lo. - A próxima etapa é mover o arquivo ou malware propriamente dito para a área de trabalho e depois excluí-lo arrastando-o para a lixeira com o seguinte comando:
mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Finalmente, só teremos que mover para a área de trabalho da mesma forma, o arquivo que invoca launchd, que é o processo em segundo plano que se comunica com o servidor remoto:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Resta apenas eliminar qualquer traço da extensão no navegador do Bloqueador de pop-ups e estaríamos prontos para navegar 'mais relaxado'.
Mais informações - Um Trojan capaz de roubar Bitcoins de Macs aparece