Специалистам «Доктор Веб» известно несколько модификаций Trojan.CoinThief, первые образцы этого троянца получили распространение еще осенью 2013 года, в период бурного роста курса электронной криптовалюты Bitcoin. Программа маскируется под легитимные утилиты для добычи (майнинга) этой криптовалюты, такие как, в частности, BitVanity, StealthBit, Bitcoin Ticker TTM, Litecoin Ticker. Trojan.CoinThief заражает компьютеры, работающие под управлением Mac OS X.
Троянец состоит из нескольких компонентов: инсталлятора, распространяющегося под именем легитимного приложения, агента, реализующего ряд функций (например, обработка перехваченных данных, проверка установленных на машине приложений и самообновление), а также расширения браузера для фильтрации трафика, выполнения функций агента и общения с командным сервером злоумышленников. Основное функциональное назначение вредоносной программы — мониторинг трафика с целью хищения приватных данных из приложений для добычи электронной криптовалюты Bitcoin и Litecoin. Также, в случае если на инфицированном компьютере установлен клиент платежной системы Bitcoin-Qt, Trojan.CoinThief модифицирует эту программу и похищает приватные данные непосредственно из нее. С помощью полученной информации злоумышленники могут выполнить несанкционированные транзакции электронной валюты с компьютера жертвы.
Сигнатуры Trojan.CoinThief добавлены в вирусные базы, и потому пользователи Apple-совместимых компьютеров, установившие Антивирус Dr.Web для Mac OS X, полностью защищены от этой угрозы.