В архивах данных Mt.Gox выявлены следы вредоносного кода

18/03/2014 20:43

Архив данных, содержащий сведения о транзакциях с Bitcoin на интернет-площадке Mt.Gox, на прошлой неделе появился в Интернет. Он был размещен в Сети неизвестной группой хакеров, которым также удалось скомпрометировать блог Mt.Gox CEO Марка Карпелесе. Сейчас специалисты говорят, что они проанализировали данные архива и обнаружили в них следы присутствия вредоносного ПО для Windows и Mac, направленного на похищение Bitcoin. Специалисты по информационной безопасности из «Лаборатории Касперского» проанализировали 620-мегабайтный файл "MtGox2014leak.zip" и выявили в нем следы работы вредоноса, а также большое количество данных с транзакциями по виртуальным деньгам и документы Mt.Gox. Вредонос маскируется под Windows- и Mac-версии офисного приложения для работы с транзакциями по Bitcoin. Напомним, что Mt.Gox подала в феврале заявление о банкротстве, заявив, что компания потеряла около 850 тыс виртуальных монет, в том числе 100 тыс ее собственных монет. В «Лаборатории Касперского» говорят, что выявленное вредоносное ПО изначально было создано для поиска и кражу файлов кошельков Bitcoin с зараженных компьютеров. Вредонос как в Windows-, так и в Mac-версии был написан на LiveCode - языке программирования для создания кроссплатформенных приложений. Когда модифицированная версия вредоноса попадала на компьютер пользователя, то она запускала графический интерфейс, который информировал пользователя об ошибке доступа к платформе Mt.Gox, однако в фоновом режиме вредонос также запускает процесс "TibanneSocket.exe", который ищет файлы "bitcoin.conf" и "wallet.dat" на компьютере. Согласно классификации «Лаборатории Касперского», Windows-версия вредоноса называется Trojan.Win32.CoinStealer.i, а Mac-версия - Trojan.OSX.Coinstealer.a. В компании говорят, что до недавнего времени оператор вредоноса собирал краденные данные на сервер, работавший в Болгарии. Сейчас он отключен.
Источник