Une application pour Mac OS X installe sous Chrome et Safari une extension qui surveille l'activité de l'internaute sur les sites de Bitcoins les plus populaires, et envoie les identifiants saisis au hacker pour lui permettre de voler le contenu des portefeuilles.

S'il est fréquent d'entendre parler de virus et autres malwares sous Windows, l'événement est plus rare sur Mac. Le site SecureMac, dédié comme son nom l'indique à la sécurité sous les environnements Apple, rapporte qu'il a détecté la présence d'un nouveau cheval de Troie baptisé OSX/CoinThief.A, qui a pour fonction de voler les Bitcoins de ses victimes. En réalité, c'est moins le système d'exploitation d'Apple qui est attaqué que la naïveté de l'internaute.

En effet, selon SecureMac, le malware se cacherait au sein d'une application ("StealthBit") dédiée officiellement à rendre plus discrètes les transactions en Bitcoins. Mais plutôt que de faire uniquement son travail d'envoi et de réception de paiements, l'application surveillerait discrètement le trafic web de l'utilisateur pour dérober les identifiants permettant d'accéder à des portefeuilles de Bitcoins. Une méthode déjà vue sur Mac avec Bitvanity, qui semble avoir été réalisé il y a de nombreux mois par le même auteur.

StealthBit avait été publié sur GitHub, certainement pour rassurer les utilisateurs sur son contenu, puisqu'il était possible d'en vérifier le code source. Mais la version compilée fournie par l'auteur ne correspondait pas à la version compilée à partir du code source distribué sur Github. Depuis, la page du développeur a été supprimée.

Une fois installée, l'application vérolée ajoute discrètement une extension au navigateur Chrome ou Safari (un prétendu bloqueur de pop-ups) pour surveiller l'activité de l'internaute sur les sites de Bitcoins les plus populaires comme MtGox, BTC-e, ou blockchain.info. Lorsque l'utilisateur entre ses login et mot de passe, l'ensemble est capté et renvoyé vers un serveur distant.

Le malware dispose par ailleurs d'une fonctionnalité qui permet au développeur de le mettre à jour à distance.

Outre les identifiants de sites de portefeuilles Bitcoins, OSX/CoinThief.A renvoie également le nom d'utilisateur et l'identifiant unique de l'appareil Mac utilisé (UUID), et un listing des applications liées à BitCoin installées sur le Mac de la victime.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.