|
gabridome (OP)
|
 |
March 08, 2014, 05:18:04 PM |
|
Some steps were taken by the malware author to disguise the inner workings of OSX/CoinThief.A from casual analysis. The browser extensions were given the generic name of "Pop-Up Blocker" and show a similarly generic description of "Blocks pop-up windows and other annoyances."
Guardate un pò anche dopo "la cura" cosa mi compare ogni volta che apro Safari:  E' evidente che "il malaware" non funziona più al suo meglio ma il messaggio segnala che era quantomeno presente. Mi sa che formatto il disco e reinstallo l'OS. Se avete suggerimenti per altre analisi su questo MAc fatemelo sapere in fretta non posso più vedere questo OS....  |
|
|
|
|
|
(A)social
|
|
March 08, 2014, 05:18:45 PM |
|
Grazie alla vostra tenacia altre cose mi vengono in mente.
...
Ti hanno spremuto come un limone  |
|
|
|
|
(A)social
|
|
March 08, 2014, 05:21:08 PM |
|
Some steps were taken by the malware author to disguise the inner workings of OSX/CoinThief.A from casual analysis. The browser extensions were given the generic name of "Pop-Up Blocker" and show a similarly generic description of "Blocks pop-up windows and other annoyances."
Guardate un pò anche dopo "la cura" cosa mi compare ogni volta che apro Safari: E' evidente che "il malaware" non funziona più al suo meglio ma il messaggio segnala che era quantomeno presente. Mi sa che formatto il disco e reinstallo l'OS. Se avete suggerimenti per altre analisi su questo MAc fatemelo sapere in fretta non posso più vedere questo OS....  |
|
|
|
|
Lohoris
|
|
March 08, 2014, 05:23:21 PM |
|
Stavo giusto leggendo e l' unica cosa che mi viene in mente è che abbiano avuto accesso al cellulare o ad un backup dello stesso. [...]
Trafugando i file di configurazione del 2FA e della casella email, il resto è un gioco da ragazzi
Sì, sembra evidente anche a me che è stato il cellulare a venir compromesso. Converrebbe davvero usare una yubikey per LastPass, quasi quasi provvedo anch'io. E... la password dell'email dev'essere custodita molto più gelosamente, ovvero non deve essere salvata "da nessuna parte"™. |
|
|
|
FanEagle
Legendary
 Offline
Activity: 2870
Merit: 1114
Leading Crypto Sports Betting & Casino Platform
|
|
March 08, 2014, 05:42:06 PM |
|
Ma usare un software tipo TrueCrypt per mettere al sicuro quantomeno la password?
Un'altro punto debole è l'email, secondo me. Anche l'email aveva una password decentemente potente?
|
| ..Stake.com.. | | | ▄████████████████████████████████████▄
██ ▄▄▄▄▄▄▄▄▄▄ ▄▄▄▄▄▄▄▄▄▄ ██ ▄████▄
██ ▀▀▀▀▀▀▀▀▀▀ ██████████ ▀▀▀▀▀▀▀▀▀▀ ██ ██████
██ ██████████ ██ ██ ██████████ ██ ▀██▀
██ ██ ██ ██████ ██ ██ ██ ██ ██
██ ██████ ██ █████ ███ ██████ ██ ████▄ ██
██ █████ ███ ████ ████ █████ ███ ████████
██ ████ ████ ██████████ ████ ████ ████▀
██ ██████████ ▄▄▄▄▄▄▄▄▄▄ ██████████ ██
██ ▀▀▀▀▀▀▀▀▀▀ ██
▀█████████▀ ▄████████████▄ ▀█████████▀
▄▄▄▄▄▄▄▄▄▄▄▄███ ██ ██ ███▄▄▄▄▄▄▄▄▄▄▄▄
██████████████████████████████████████████ | | | | | | ▄▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▄
█ ▄▀▄ █▀▀█▀▄▄
█ █▀█ █ ▐ ▐▌
█ ▄██▄ █ ▌ █
█ ▄██████▄ █ ▌ ▐▌
█ ██████████ █ ▐ █
█ ▐██████████▌ █ ▐ ▐▌
█ ▀▀██████▀▀ █ ▌ █
█ ▄▄▄██▄▄▄ █ ▌▐▌
█ █▐ █
█ █▐▐▌
█ █▐█
▀▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▀█ | | | | | | ▄▄█████████▄▄
▄██▀▀▀▀█████▀▀▀▀██▄
▄█▀ ▐█▌ ▀█▄
██ ▐█▌ ██
████▄ ▄█████▄ ▄████
████████▄███████████▄████████
███▀ █████████████ ▀███
██ ███████████ ██
▀█▄ █████████ ▄█▀
▀█▄ ▄██▀▀▀▀▀▀▀██▄ ▄▄▄█▀
▀███████ ███████▀
▀█████▄ ▄█████▀
▀▀▀███▄▄▄███▀▀▀ | | | ..PLAY NOW.. |
|
|
|
|
gabridome (OP)
|
|
March 08, 2014, 05:58:15 PM |
|
Some steps were taken by the malware author to disguise the inner workings of OSX/CoinThief.A from casual analysis. The browser extensions were given the generic name of "Pop-Up Blocker" and show a similarly generic description of "Blocks pop-up windows and other annoyances."
Guardate un pò anche dopo "la cura" cosa mi compare ogni volta che apro Safari: E' evidente che "il malaware" non funziona più al suo meglio ma il messaggio segnala che era quantomeno presente. Mi sa che formatto il disco e reinstallo l'OS. Se avete suggerimenti per altre analisi su questo MAc fatemelo sapere in fretta non posso più vedere questo OS.... Grazie. rincuorante e prezioso... Quasi quasi mi ci metto anch'io...   (non so se si é capito ma non so se piangere o ridere). |
|
|
|
|
|
(A)social
|
|
March 08, 2014, 06:04:17 PM |
|
Fai un backup del disco intanto, poi se qualcun* ha suggerimenti (ma ormai non vedo cosa si possa fare) puoi lavorare su quello. Non volevo essere scortese, eh? |
|
|
|
|
gabridome (OP)
|
|
March 08, 2014, 06:05:25 PM |
|
Stavo giusto leggendo e l' unica cosa che mi viene in mente è che abbiano avuto accesso al cellulare o ad un backup dello stesso. [...]
Trafugando i file di configurazione del 2FA e della casella email, il resto è un gioco da ragazzi
Sì, sembra evidente anche a me che è stato il cellulare a venir compromesso. Converrebbe davvero usare una yubikey per LastPass, quasi quasi provvedo anch'io. E... la password dell'email dev'essere custodita molto più gelosamente, ovvero non deve essere salvata "da nessuna parte"™. Se é vero che é necessario l'accesso Root per avere accesso ai file di Google Authenticator questo non può essere avvenuto. Io HO la yubikey per Lastpass e ANCHE Google Authenticator. Sul telefono non potendo usare la yubikey ti fanno usare Google authenticator se l'hai abilitato. Io sono in questa situazione: uso yubikey sui Mac e Google authenticator sul telefono per lastpass. Questo da mesi. In teoria non sono vulnerabile ai keylogger per lastpass ma se un programma riesce a intercettare il passaggio di credenziali su MAC (bitstealth?) allora quelle sono compromesse. Le credenziali di gmail NON le ho scritte da nessuna parte ma l'app su telefonino te le memorizza. gmail dell'azienda é l'unica cosa che non avevo sotto 2FA. |
|
|
|
|
|
gabridome (OP)
|
|
March 08, 2014, 06:07:17 PM |
|
Fai un backup del disco intanto, poi se qualcun* ha suggerimenti (ma ormai non vedo cosa si possa fare) puoi lavorare su quello. Non volevo essere scortese, eh? Lo sei stato! ma mi hai fatto anche molto ridere |
|
|
|
|
|
(A)social
|
|
March 08, 2014, 06:09:07 PM |
|
Fai un backup del disco intanto, poi se qualcun* ha suggerimenti (ma ormai non vedo cosa si possa fare) puoi lavorare su quello. Non volevo essere scortese, eh? Lo sei stato! ma mi hai fatto anche molto ridere Non sono riuscito a frenare la mia avversione per Apple  |
|
|
|
|
gabridome (OP)
|
|
March 08, 2014, 06:11:05 PM |
|
Fai un backup del disco intanto, poi se qualcun* ha suggerimenti (ma ormai non vedo cosa si possa fare) puoi lavorare su quello. Non volevo essere scortese, eh? Lo sei stato! ma mi hai fatto anche molto ridere Non sono riuscito a frenare la mia avversione per Apple winsdoz? |
|
|
|
|
|
(A)social
|
|
March 08, 2014, 06:12:20 PM |
|
Fai un backup del disco intanto, poi se qualcun* ha suggerimenti (ma ormai non vedo cosa si possa fare) puoi lavorare su quello. Non volevo essere scortese, eh? Lo sei stato! ma mi hai fatto anche molto ridere Non sono riuscito a frenare la mia avversione per Apple winsdoz? Vade retro!  |
|
|
|
|
gabridome (OP)
|
|
March 08, 2014, 06:19:50 PM |
|
Fai un backup del disco intanto, poi se qualcun* ha suggerimenti (ma ormai non vedo cosa si possa fare) puoi lavorare su quello. Non volevo essere scortese, eh? Lo sei stato! ma mi hai fatto anche molto ridere Non sono riuscito a frenare la mia avversione per Apple winsdoz? Vade retro! Ah ok. Ho usato e uso ancora spesso l'unico sistema operativo che abbia senso ma per la famiglia e l'ufficio non riesco... Mi diverto con un server con digital ocean su cui ho un full node e un server electrum giusto per tenermi in allenamento... |
|
|
|
|
rikyxxx
Newbie
Offline
Activity: 10
Merit: 0
|
|
March 09, 2014, 01:36:31 AM |
|
@gabridome
Per curiosità: hai un Firewall sul Mac incirminato (tipo LittleSnitch)?
|
|
|
|
|
alch1mista
Sr. Member
Offline
Activity: 455
Merit: 251
blockchain longa, vita brevis
|
|
March 09, 2014, 10:08:28 AM |
|
Some steps were taken by the malware author to disguise the inner workings of OSX/CoinThief.A from casual analysis. The browser extensions were given the generic name of "Pop-Up Blocker" and show a similarly generic description of "Blocks pop-up windows and other annoyances."
Guardate un pò anche dopo "la cura" cosa mi compare ogni volta che apro Safari: E' evidente che "il malaware" non funziona più al suo meglio ma il messaggio segnala che era quantomeno presente. Mi sa che formatto il disco e reinstallo l'OS. Se avete suggerimenti per altre analisi su questo MAc fatemelo sapere in fretta non posso più vedere questo OS.... Scusami non ho seguito tutto quanto, comunque leggendo in giro informazioni su Cointhief vedo che ce ne sono almeno 5 versioni, di cui pare che 4 siano già riconosciute da XProtect. Vorrei sapere che versione del software avevi (Mavericks? 10.9.2?) e se sei riuscito a riconoscere il processo in Activity Monitor e se si, che nome aveva: a quanto pare dovrebbe essere com.google.qualcosa, ma siccome non sei l'unico utente mac, sapere che può essere riconosciuto con un altro nome fa comodo a tutti. Grazie. |
Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. |
|
|
rikyxxx
Newbie
Offline
Activity: 10
Merit: 0
|
|
March 09, 2014, 10:39:23 AM |
|
In effetti anche la tua domanda è interessante...
Il nome del processo è com.google.softwareUpdateAgent
|
|
|
|
|
bitkill
Newbie
Offline
Activity: 28
Merit: 0
|
|
March 09, 2014, 03:28:16 PM |
|
Assurdo, la migliore soluzione quindi sarebbe l'utilizzo di un portafoglio OFFLINE come bitcoin-qt a questo punto.
Ormai non ci si può fidare di nessun wallet online, almeno come deposito.
Mi dispiace molto per te, veramente, posso solo immaginare come ti senti.
|
|
|
|
|
|
Lohoris
|
|
March 09, 2014, 03:30:28 PM |
|
Assurdo, la migliore soluzione quindi sarebbe l'utilizzo di un portafoglio OFFLINE come bitcoin-qt a questo punto.
Ormai non ci si può fidare di nessun wallet online, almeno come deposito.
Cavolata. I wallet web e i wallet offline hanno diversi pro e contro, e ci sono vettori di attacco contro ciascuno. Sono solo diversi. In questo caso gli hanno rubato da un wallet online e tutti a dire "gnè gnè wallet online cacca pupù", se gli rubavano da un wallet offline sarebbe accatuta la stessa cosa. (poi vabbe', in realtà non stiamo neanche parlando di un wallet, bensì di un exchange, dunque il discorso fatto è ancora più sbagliato...) |
|
|
|
bitkill
Newbie
Offline
Activity: 28
Merit: 0
|
|
March 09, 2014, 03:53:02 PM |
|
Assurdo, la migliore soluzione quindi sarebbe l'utilizzo di un portafoglio OFFLINE come bitcoin-qt a questo punto.
Ormai non ci si può fidare di nessun wallet online, almeno come deposito.
Cavolata. I wallet web e i wallet offline hanno diversi pro e contro, e ci sono vettori di attacco contro ciascuno. Sono solo diversi. In questo caso gli hanno rubato da un wallet online e tutti a dire "gnè gnè wallet online cacca pupù", se gli rubavano da un wallet offline sarebbe accatuta la stessa cosa. (poi vabbe', in realtà non stiamo neanche parlando di un wallet, bensì di un exchange, dunque il discorso fatto è ancora più sbagliato...)Appunto per questo secondo me il wallet offline è più sicuro di quello online, in quanto in quello offline, non è secessaria l'email o l'autenticazione a 2 fattori, in quanto nessuno può accedervi se non dal pc stesso in cui è installato il wallet. E se uno ha un buon antivirus e non si mette ad installare l'ira di dio che circola sul web, sicuramente non correrà pericoli. |
|
|
|
|
|
Lohoris
|
|
March 09, 2014, 06:32:09 PM |
|
Appunto per questo secondo me il wallet offline è più sicuro di quello online, in quanto in quello offline, non è secessaria l'email o l'autenticazione a 2 fattori, in quanto nessuno può accedervi se non dal pc stesso in cui è installato il wallet.
E se uno ha un buon antivirus e non si mette ad installare l'ira di dio che circola sul web, sicuramente non correrà pericoli.
Pensare che basti questo a proteggerti è assai pericoloso: stai creando una grossa illusione. |
|
|
|
|
