Det ser ud til, at udviklerne af transmission er målet for hackere, da det ikke er første gang gennem denne software at downloade filer nogle andre malware sniger sig ind på Mac'en, hvor den er installeret. Ved denne lejlighed blev malware distribueret via downloads af denne applikation mellem 28. og 29. august. Denne installationspakke indeholdt Keydnap-malware. Den tidligere version af denne malware krævede, at brugerne klikker på en ondsindet fil, som automatisk åbnede Terminal. Derefter ventede malware på, at applikationen blev udført, og viste os et vindue, der bad om godkendelse.
Men i denne nye version kræver denne malware ikke et andet program, der skal køres, eller brugeren skal godkendes, simpelthen installeret sammen med transmission. Da applikationen blev underskrevet af Apple, tillader Gatekeeper udførelsen af denne applikation uden på noget tidspunkt at kontrollere, om den indeholder malware eller ej.
Når den er installeret og har haft kontrol over vores Mac, kan denne nye Keydnap malware-opdatering bruges til at få adgang til nøglering, hvor vi gemmer alle adgangskoder tilknyttet websider, logisk inklusive dem til at få adgang til vores bankkonti. Men det begrænser sig ikke til at have adgang, det downloader hurtigt filen til de servere, der har udviklet denne malware.
Signaturen findes i installationspakken til transmission logisk Det er ikke den, der tilhører legitime udviklere, Apple er blevet informeret om at tilbagekalde adgangen til dette firma, da det ikke er den, der tilhører udviklerne. Udviklerne har hurtigt fortsat med at fjerne den inficerede kopi fra deres servere, så snart de er blevet underrettet om dette problem.
Det ser ud til, at sikkerheden på virksomhedens servere altid har døren åben, fordi det er anden gang, at hackere har sneget sig ind i dem og ændret den originale downloadfil til en kopi med malware inkluderet. Tidligere var malware, der smug sig ind i installationspakken, KeRanger. På trods af de undersøgelser, de udfører hver gang, kommer hackere ind igen og igen. Det ser ud til, at de bliver nødt til at dedikere sig til noget andet eller vælge at skifte server. I øjeblikket er den nye kopi allerede gemt på Github-serverne.
Sådan fjernes Keynap fra vores Mac inficeret ved transmission
ESET Research anbefaler, at alle brugere, der har downloadet og installeret iTransmission mellem den 28. og 29. find og slet nogen af disse filer eller mapper på dine Mac'er:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HJEM / Bibliotek / Application Support / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Bibliotek / Application Support / com.apple.iCloud.sync.daemon / process.id
- $ HJEM / Bibliotek / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Bibliotek / Application Support / com.apple.iCloud.sync.daemon /
- $ HJEM / Bibliotek / LaunchAgents / com.geticloud.icloud.photo.plist
Dernæst skal vi gå til Aktivitetsovervågning og lamme enhver proces relateret til følgende filer:
- icloudproc
- Licens.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -lunchd netlogon.bundle
derefter afinstallere applikationen fra vores system og download transmission igen fra Github-serverne, hvor de har hostet den, fordi den giver større sikkerhed end deres egne servere.
