Čini se da su programeri Transmission meta hakera, jer nije prvi put da koriste ovaj softver za preuzimanje datoteka neki drugi zlonamjerni softver se ušulja u Macove gdje je instaliran. Ovom prilikom distribucija zlonamjernog softvera izvršena je putem preuzimanja ove aplikacije u periodu od 28. do 29. avgusta. Ovaj instalacioni paket je imao Keydnap malware unutra. Prethodna verzija ovog zlonamjernog softvera zahtijevala je od korisnika da kliknu na zlonamjerni fajl, koji je automatski otvorio Terminal. Zatim je zlonamjerni softver čekao da se aplikacija izvrši i pokazao nam prozor u kojem se traži autentikacija.
Ali u ovoj novoj verziji, ovaj zlonamjerni softver ne zahtijeva drugu aplikaciju za pokretanje ili autentifikaciju korisnika, on jednostavno Instalira se u kombinaciji sa transmisijom. Budući da je aplikaciju potpisao Apple, Gatekeeper dozvoljava ovoj aplikaciji da se pokrene bez provjere da li ima uključen zlonamjerni softver ili ne.
Jednom instaliran i imao kontrolu nad našim Mac-om, ovo novo ažuriranje zlonamjernog softvera Keydnap može koristiti za pristup privjesku za ključeve gdje pohranjujemo sve lozinke povezane s web stranicama, logično uključujući one za pristup našim bankovnim računima. Ali ne ograničava se na pristup, već brzo preuzima datoteku na servere koji su razvili ovaj zlonamjerni softver.
Potpis pronađen u paketu za instalaciju prijenosa logički To nije onaj koji pripada legitimnim programerima, Apple je obaviješten da opozove pristup ovoj firmi jer ona nije ona koja pripada programerima. Programeri su brzo uklonili zaraženu kopiju sa svojih servera čim su bili obaviješteni o ovom problemu.
Čini se da sigurnost servera kompanije uvijek ima otvorena vrata, jer je to drugi put da se hakeri ušuljaju u njih i mijenjaju originalni fajl za preuzimanje za kopiju sa uključenim zlonamjernim softverom. Ranije je zlonamjerni softver koji se ušuljao u instalacioni paket bio KeRanger. Uprkos istragama koje provode svaki put, hakeri provaljuju iznova i iznova. Čini se da će se morati posvetiti nečemu drugom ili odabrati promjenu servera. Trenutno je nova kopija već pohranjena na Github serverima.
Kako ukloniti Keynap s našeg Maca zaraženog prijenosom
ESET Research preporučuje da svi korisnici koji su preuzeli i instalirali iTransmission između 28. i 29. Pronađite i izbrišite bilo koju od ovih datoteka ili direktorija na svom Macu:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Zatim moramo otići na Monitor aktivnosti i zaustaviti bilo koji proces koji se odnosi na sljedeće datoteke:
- icloudproc
- License.rtf
- icloudsyncd
- /usr/libexec/icloudsyncd -launchd netlogon.bundle
Onda deinstalirajte aplikaciju iz našeg sistema i ponovo preuzmite Transmision sa Github servera, gdje su ga ugostili jer nudi veću sigurnost od njihovih vlastitih servera.
