Le 7 décembre 2011

Les trojans pour Mac OS X ne sont pas nombreux, encore moins ceux censés voler les mots de passe et Bitcoin. Doctor Web annonce la propagation du Trojan.Merin.3 (aussi connu sous le nom de OSX/DevilRobber) volant diverses données, y compris les données financières des utilisateurs de Mac OS X.

Doctor Web a détecté de nouvelles archives infectées par le Trojan.Merin.3 sur thepiratebay.org. Ce malware se propage sous forme d’applications WritersCafe, Twitterrific et EvoCam.

A la fin du téléchargement d'une de ces applications infectées et suite à son exécution sur la machine, le Trojan.Merin.3 lance un script spécialisé activant l'installateur du trojan. Cet installateur est enregistré dans l'un des sous-dossiers du répertoire Library (home\library\) sous le nom eCamd ou twitted puis télécharge l'archive bin.bop depuis un serveur ftp pirate.

L’archive contient le module DiabloMiner pour Bitcoin compatible avec Mac OS X et le trojan. La monnaie électronique Bitcoin a été crée en 2009 par Satoshi Nakamoto. Son système de circulation n'a pas de gestion centralisée, c'est un réseau utilisant les transactions peer-to-peer. L'utilisateur doit installer sur son PC un logiciel spécial qui sert à faire des calculs complexes utilisant les ressources de l’ordinateur, et pour cela, il reçoit une rémunération. Ensuite, les participants peuvent échanger « les monnaies » gagnées et acheter différents biens. Le processus utilisé par Bitcoin s’appelle le « mining » («extraction » ou « exploration de données » en anglais). Le nouveau trojan utilise les nouveaux types d’adresses-bitcoin à la différence des anciennes versions du Trojan.Merin.

Le module principal du Trojan.Merin.3 est capable de voler sur l’ordinateur infecté les mots de passe de l’utilisateur, les données des systèmes de paiement en ligne, des logs de bash (.bash_history), et d’envoyer ces données sur le serveur des malfaiteurs.

La signature de cette menace a déjà été ajoutée aux bases virales de Dr.Web Antivirus pour Mac OS X. Il est recommandé aux utilisateurs de rester prudents en utilisant les applications téléchargées depuis les torrents.