Φαίνεται ότι οι προγραμματιστές του Transmission είναι ο στόχος των χάκερ, καθώς δεν είναι η πρώτη φορά μέσω αυτού του λογισμικού για λήψη αρχείων κάποιο άλλο κακόβουλο λογισμικό μπαίνει στο Mac όπου είναι εγκατεστημένο. Με την ευκαιρία αυτή, το κακόβουλο λογισμικό διανεμήθηκε μέσω των λήψεων αυτής της εφαρμογής μεταξύ 28 και 29 Αυγούστου. Αυτό το πακέτο εγκατάστασης περιείχε κακόβουλο λογισμικό Keydnap. Η προηγούμενη έκδοση αυτού του κακόβουλου λογισμικού απαιτούσε από τους χρήστες να κάνουν κλικ σε ένα κακόβουλο αρχείο, το οποίο άνοιξε αυτόματα το Terminal. Στη συνέχεια, το κακόβουλο λογισμικό περίμενε την εκτέλεση της εφαρμογής και μας έδειξε ένα παράθυρο που ζητούσε έλεγχο ταυτότητας.
Αλλά σε αυτήν τη νέα έκδοση, αυτό το κακόβουλο λογισμικό δεν απαιτεί μια δεύτερη εφαρμογή για να εκτελεστεί ή ο χρήστης για έλεγχο ταυτότητας, απλά εγκατασταθεί από κοινού με το Transmission. Δεδομένου ότι η εφαρμογή υπογράφηκε από την Apple, το Gatekeeper επιτρέπει την εκτέλεση αυτής της εφαρμογής χωρίς να ελέγχει ανά πάσα στιγμή εάν περιλαμβάνει κακόβουλο λογισμικό ή όχι.
Μόλις εγκατασταθεί και είχε τον έλεγχο του Mac μας, αυτή η νέα ενημέρωση κακόβουλου λογισμικού Keydnap μπορεί χρησιμοποιείται για πρόσβαση στην μπρελόκ όπου αποθηκεύουμε όλους τους κωδικούς πρόσβασης που σχετίζονται με ιστοσελίδες, συμπεριλαμβανομένων λογικά αυτών που έχουν πρόσβαση στους τραπεζικούς λογαριασμούς μας. Αλλά δεν περιορίζεται στο να έχει πρόσβαση, κατεβάζει γρήγορα το αρχείο στους διακομιστές που έχουν αναπτύξει αυτό το κακόβουλο λογισμικό.
Η υπογραφή που βρέθηκε στο πακέτο εγκατάστασης μετάδοσης λογικά Δεν ανήκει σε νόμιμους προγραμματιστές, Η Apple έχει ενημερωθεί να ανακαλέσει την πρόσβαση σε αυτήν την εταιρεία, καθώς δεν είναι αυτή που ανήκει στους προγραμματιστές. Οι προγραμματιστές προχώρησαν γρήγορα στην αφαίρεση του μολυσμένου αντιγράφου από τους διακομιστές τους μόλις ενημερωθούν για αυτό το πρόβλημα.
Φαίνεται ότι η ασφάλεια των διακομιστών της εταιρείας έχει πάντα την πόρτα ανοιχτή, γιατί αυτή είναι η δεύτερη φορά που οι χάκερ έχουν μπει σε αυτά και άλλαξαν το αρχικό αρχείο λήψης για ένα αντίγραφο με κακόβουλο λογισμικό. Προηγουμένως, το κακόβουλο λογισμικό που εισήγαγε το πακέτο εγκατάστασης ήταν το KeRanger. Παρά τις έρευνες που πραγματοποιούν κάθε φορά, οι χάκερ μπαίνουν ξανά και ξανά. Φαίνεται ότι θα πρέπει να αφιερωθούν σε κάτι άλλο ή να επιλέξουν να αλλάξουν διακομιστές. Προς το παρόν, το νέο αντίγραφο είναι ήδη αποθηκευμένο στους διακομιστές Github.
Πώς να αφαιρέσετε το Keynap από το Mac που έχει μολυνθεί από τη μετάδοση
Η ESET Research συνιστά σε όλους τους χρήστες που έχουν κατεβάσει και εγκαταστήσει το iTransmission μεταξύ 28 και 29 βρείτε και διαγράψτε οποιοδήποτε από αυτά τα αρχεία ή καταλόγους στους Mac σας:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Βιβλιοθήκη / Υποστήριξη εφαρμογών / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Βιβλιοθήκη / Υποστήριξη εφαρμογών / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Βιβλιοθήκη / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Βιβλιοθήκη / Υποστήριξη εφαρμογών / com.apple.iCloud.sync.daemon /
- $ HOME / Βιβλιοθήκη / LaunchAgents / com.geticloud.icloud.photo.plist
Στη συνέχεια πρέπει να πάμε στο Activity Monitor και παράλυση οποιασδήποτε διαδικασίας που σχετίζεται με τα ακόλουθα αρχεία:
- icloudproc
- License.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
Τότε απεγκαταστήστε την εφαρμογή από το σύστημά μας και κατεβάστε ξανά το Transmission από τους διακομιστές Github, όπου το έχουν φιλοξενήσει επειδή προσφέρει μεγαλύτερη ασφάλεια από τους δικούς τους διακομιστές.
