Sembla que els desenvolupadors de Transmission són l'objectiu dels hackers, ja que no és la primera vegada que a través d'aquest programari per descarregar arxius es cola algun que altre malware en els Mac on es troba instal·lat. En aquesta ocasió, la distribució de malware s'ha realitzat a través de les descàrregues d'aquesta aplicació entre els dies 28 i 29 d'agost. Aquest paquet d'instal·lació tenia al seu interior el malware Keydnap. La versió anterior d'aquest malware requeria que els usuaris fessin clic en un arxiu maliciós, que automàticament obria la Terminal. Llavors el malware esperava que l'aplicació fos executada i ens mostrava una finestra en la qual ens demanava autenticació.
Però en aquesta nova versió, aquest malware no requereix d'una segona aplicació per executar-se ni que l'usuari s'autentiqui, simplement s'instal·la de forma conjunta amb Transmission. Des que l'aplicació va ser signada per Apple, Gatekeeper permet l'execució d'aquesta aplicació sense comprovar en cap moment si porta malware inclòs o no.
Un cop instal·lat i ha tingut control sobre el nostre Mac, aquesta nova actualització de l'malware Keydnap, pot utilitzar-se per poder tenir accés a l'clauer on emmagatzemem totes les contrasenyes associades a pàgines web, incloent lògicament les d'accés a les nostres comptes dels bancs. Però no es limita a tenir accés sinó que ràpidament descarrega el fitxer en els servidors que han desenvolupat aquest malware.
La firma que es troba en el paquet instal·lador de Transmission lògicament no és la que pertany als legítims desenvolupadors, Apple ha estat informat per revoqui l'accés a d'aquesta firma ja que no és la que la que pertany als desenvolupadors. Ràpidament els desenvolupadors han procedit a eliminar la còpia infectada dels seus servidors tan aviat han estat notificats d'aquest problema.
Sembla que la seguretat dels servidors de la companyia sempre tenen la porta oberta, perquè ja és la segona vegada que els hacker es colen en ells i canviar l'arxiu de descàrrega original per una còpia amb malware inclòs. Anteriorment el malware que es va colar al paquet d'instal·lació va ser KeRanger. Malgrat les investigacions que realitzen cada vegada, els hackers entren una i altra vegada. Sembla que van a haver de dedicar-se a una altra cosa o optar per canviar de servidors. De moment la nova còpia ja està emmagatzemada en els servidors de Github.
Com eliminar Keynap del nostre Mac infectat per Transmission
ESET Research recomana que tots els usuaris que han descarregat i instal·lat iTransmission entre els dies 28 i 29 busquin i esborrin en els seus Mac qualsevol d'aquests arxius o directoris:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Library / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Library / Application Support / com.apple.iCloud.sync.daemon /
- $ HOME / Library / LaunchAgents / com.geticloud.icloud.photo.plist
A continuació hem de dirigir fins al Monitor d'activitat i paralitzar qualsevol procés relacionat amb els següents arxius:
- icloudproc
- License.rtf
- icloudsyncd
- / Usr / libexec / icloudsyncd -launchd netlogon.bundle
A continuació desinstal·lar l'aplicació del nostre sistema i tornar a descarregar transmissió novament des dels servidors de Github, on l'han allotjat pel fet que ofereix més seguretat que els seus propis servidors.
