Компания «Dr-Web» — российская компания по созданию средств безопасности в компьютерной сфере — информирует пользователей о появлении вируса Trojan.Merin.3 (другое название OSX/DevilRobber), созданного для кражи разных данных, в том числе информации, связанной с финансами пользователей Mac OS X.

Специалисты «Dr-Web» нашли новые зараженные архивы, в которых Trojan.Merin.3 распространяется на торрент трекере thepiratebay.org. Троянец маскируется под приложения Twitterrific, WritersCafe, EvoCam.

После закачивания и выполнения зараженного приложения из интернета Trojan.Merin.3 выполняет специальный скрипт, который активизирует загрузчик троянца. Загрузчик сохраняется в подпапку домашней директории Library под названием eCamd/twitterd, после этого загружает с FTP-сервера злоумышленников файловый архив bin.bop.

Внутри архива находится модуль bitcoin-клиента для Mac OS X , называемый DiabloMiner и сам вирус. Электронная криптовалюта Bitcoin была разработана в 2009г. японским специалистом Накамото Сатоси. В её системе обращения нет централизованной управляющей структуры; она разработана в виде одноранговой сети, которая использует транзакции peer-to-peer для обмена информацией. Разработчик Bitcoin взял видоизмененный принцип «золотодобычи» за основу: выпуск новых электронных «монет» (как и добыча драг-металлов) требует выполнения определенной работы — а именно пользователь должен установить на компьютере специальное программное обеспечение, которое выполняет сложные вычисления, за что владельцу компьютера передаются определенные средства - вознаграждение. Далее участники системы могут менять между собой заработанные электронные деньги и приобретать за них различные товары. Этот процесс называют «майнингом» (от англ. mining — «добыча»). В этой версии вирусной программы используются новые bitcoin-адреса по сравнению с предшествующими версиями Trojan.Merin.

Основной модуль вируса Trojan.Merin.3 может красть на зараженном компьютере пароли пользователей, информацию об электронных кошельках, а также сохранённую историю командного интерпретатора bash (.bash_history), и передавать все эти данные на удаленный сервер злоумышленников.

Запись о данной угрозе уже добавлена в базы вирусов компании Dr-Web для Mac OS X. Пользователям этой операционной системы рекомендуется осторожно относиться к непроверенным приложениям с торрент-трекеров.