Zdá se, že vývojáři Transmission jsou terčem hackerů, protože není to poprvé, co tento software stahuje soubory nějaký další malware se vplíží do počítače Mac, kde je nainstalován. Při této příležitosti byl malware distribuován prostřednictvím stahování této aplikace mezi 28. a 29. srpnem. Tento instalační balíček obsahoval malware Keydnap. Předchozí verze tohoto malwaru vyžadovala, aby uživatelé klikli na nebezpečný soubor, který automaticky otevřel Terminál. Poté malware počkal na spuštění aplikace a ukázal nám okno s žádostí o ověření.
V této nové verzi však tento malware nevyžaduje ke spuštění druhou aplikaci ani ověření uživatele, jednoduše instalován společně s převodovkou. Vzhledem k tomu, že aplikace byla podepsána společností Apple, Gatekeeper umožňuje spuštění této aplikace, aniž by kdykoli kontroloval, zda obsahuje malware nebo ne.
Jakmile je tato nová aktualizace malwaru Keydnap nainstalována a má kontrolu nad našimi počítači Mac, může slouží k přístupu do klíčenky, kde ukládáme všechna hesla přidružené k webovým stránkám, logicky včetně těch pro přístup k našim bankovním účtům. Ale neomezuje se pouze na přístup, rychle stáhne soubor na servery, které tento malware vyvinuly.
Podpis nalezený v instalačním balíčku Transmission logicky Není to ten, kdo patří legitimním vývojářům, Apple byl informován o zrušení přístupu k této firmě, protože to není ta, která patří vývojářům. Vývojáři rychle přistupovali k odstranění infikované kopie ze svých serverů, jakmile byli o tomto problému informováni.
Zdá se, že zabezpečení serverů společnosti má vždy dveře otevřené, protože je to podruhé, co se k nim hackeři vplížili a změnili původní soubor ke stažení za kopii s malwarem. Dříve byl malware, který se vplížil do instalačního balíčku, KeRanger. Navzdory vyšetřování, která pokaždé provádějí, hackeři vstupují znovu a znovu. Zdá se, že se budou muset věnovat něčemu jinému nebo se rozhodnou změnit servery. V tuto chvíli je nová kopie již uložena na serverech Github.
Jak odebrat Keynap z počítače Mac infikovaného přenosem
ESET Research doporučuje všem uživatelům, kteří si stáhli a nainstalovali iTransmission mezi 28. a 29. dnem vyhledejte a odstraňte kterýkoli z těchto souborů nebo adresářů ve svých počítačích Mac:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Knihovna / Podpora aplikací / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Knihovna / Podpora aplikací / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Knihovna / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Library / Application Support / com.apple.iCloud.sync.daemon /
- $ HOME / Knihovna / LaunchAgents / com.geticloud.icloud.photo.plist
Dále musíme jít na Monitor aktivity a paralyzovat jakýkoli proces související s následujícími soubory:
- icloudproc
- Licence.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
Pak odinstalujte aplikaci z našeho systému a stáhněte si Transmission znovu ze serverů Github, kde jej hostili, protože nabízí větší bezpečnost než jejich vlastní servery.
