Архив данных, содержащий сведения о транзакциях с Bitcoin на интернет-площадке Mt.Gox, на прошлой неделе появился в интернете. Он был размещен в сети неизвестной группой хакеров, которым также удалось скомпрометировать блог Mt.Gox CEO Марка Карпелесе. Сейчас специалисты говорят, что они проанализировали данные архива и обнаружили в них следы присутствия вредоносного ПО для Windows и Mac, направленного на похищение Bitcoin.

Специалисты по инфобезопасности из «Лаборатории Касперского» проанализировали 620-мегабайтный файл MtGox2014leak.zip и выявили в нем следы работы вредоноса, а также большое количество данных с транзакциями по виртуальным деньгам и документы Mt.Gox. Вредонос маскируется под Windows- и Mac-версии офисного приложения для работы с транзакциями по Bitcoin.

Напомним, что Mt.Gox подала в феврале заявление о банкротстве, заявив, что компания потеряла около 850 000 виртуальных монет, в том числе 100 000 ее собственных монет. В «Лаборатории Касперского» говорят, что выявленное вредоносное ПО изначально было создано для поиска и кражу файлов кошельков Bitcoin с зараженных компьютеров. Вредонос как в Windows-, так и в Mac-версии был написан на LiveCode - языке программирования для создания межплатформенных приложений.

Когда модифицированная версия вредоноса попадала на компьютер пользователя, то она запускала графический интерфейс, который информировал пользователя об ошибке доступа к платформе Mt.Gox, однако в фоновом режиме вредонос также запускает процесс TibanneSocket.exe, который ищет файлы bitcoin.conf и wallet.dat на компьютере. Согласно классификации «Лаборатории Касперского», Windows-версия вредоноса называется Trojan.Win32.CoinStealer.i, а Mac-версия - Trojan.OSX.Coinstealer.a. В компании говорят, что до недавнего времени оператор вредоноса собирал краденные данные на сервер, работавший в Болгарии. Сейчас он отключен.