El robo de Bitcoins en la plataforma Mac OS X mediante el uso de un malware es una realidad que muchos no olvidarán, pero de la que pueden sacarse lecciones importantes de cara a revisar qué es lo que está pasando en nuestros ordenadores – sea cual sea nuestro sistema operativo.

El “modus operandi” del malware (troyano) consistía en espiar lo que hacíamos en el navegador, de manera que en el momento oportuno se hacía con nuestros “Bitcoins“. El descubrimiento fue hecho recién el domingo pasado, donde se consiguió acreditar el programa malicioso provenía de una solución ofrecida como “StealthBit” y que supuestamente permitía recibir pagos anónimos. Su nombre era “OSX/CoinThief.A”.

La forma de expansión fue sencilla, el usuarios de nickname “trevorscool” en reddit lo hizo a través de la misma fuente mencionada el 1 de febrero. Lo curioso es que este nombre es muy parecido al que encontramos en la subida a “GitHub”, cuenta que por cierto fue borrada a la fecha y obedecía al nombre “Thomasrevor”. La aplicación aquí se conocía como “BitVanity” en 2013.

El troyano de Bitcoins tiene historia

Muchas personas han comenzado a reportar sus sistemas infectados durante lo que fue el fin de semana a la fecha, uno de ellos dijo haber perdido cerca de 20 Bitcoins (unos 12,000 dólares aproximadamente), ello como resultado del llamado “Coin Thief”, troyano que estaba dentro de la aplicación “Stealth Bit”.

La primera vez en que apareció esta aplicación fue en GitHub, aunque en ese entonces la compilación del programa tenía una carga de pago maliciosa que accionaba de la siguiente forma: una vez que se descargaba la aplicación, el troyano instalaba sus extensiones silenciosamente en Google Chrome o Safari, donde luego buscaba en los mismos navegadores credenciales que le permitieran acceso a sitios relacionados como “Monte, Gox, BTC-e y Blockchain”.

Cuando el malware conseguía hacerse con las credenciales necesarias para acceder a los sitios, enviaba la información a los servidores de los propietarios del mismo para que pudieran cometer los ilícitos. Ahora, la información que se estaba enviando no se limitaba sólo a información sobre el inicio de sesión, sino también el UUID (Universally Unique Identifier por sus siglas en inglés) y las aplicaciones instaladas que se utilizaban con este tipo de “moneda”.

Cómo solucionar el robo de Bitcoins

Si hemos descargado StealthBit, todavía podemos reparar el mal causado – si no nos han robado todavía – pero la solución hay que implementarla rápido. Lo primeo que debemos hacer es eliminar las extensiones de los navegadores, las que son del tipo “Pop-Up Blocker”. Cuando vemos su descripción aparece como un bloqueador de ventanas emergentes y otras cosas, si lo vemos en el browser debemos borrarlo de inmediato.