Tundub, et häkkerite sihtmärgiks on ülekande arendajad, kuna failide allalaadimine pole selle tarkvara kaudu esimene kord mõni muu pahavara hiilib Maci, kuhu see on installitud. Sel korral levitati pahavara selle rakenduse allalaaditavate failide kaudu ajavahemikus 28. kuni 29. august. Selle installipaketi sees oli Keydnapi pahavara. Selle pahavara eelmine versioon kohustas kasutajaid klõpsama pahatahtlikul failil, mis avas terminali automaatselt. Seejärel ootas pahavara rakenduse käivitamist ja näitas meile akent, kus paluti autentimist.
Kuid selles uues versioonis ei vaja see pahavara lihtsalt teise rakenduse käivitamist ega kasutaja autentimist paigaldatud koos ülekandega. Kuna rakenduse allkirjastas Apple, lubab Gatekeeper selle rakenduse käivitada, kontrollimata igal ajal, kas selles on pahavara või mitte.
Pärast selle installimist ja meie Maci üle kontrolli omamist saab see uus Keydnapi pahavara värskendus kasutatakse võtmehoidja juurde pääsemiseks, kuhu me kõik paroolid salvestame seotud veebilehtedega, kaasa arvatud loogiliselt meie pangakontodele juurdepääsuks. Kuid see ei piirdu ainult ligipääsuga, see laadib faili kiiresti alla pahavara arendanud serveritesse.
Transmissiooni installiprogrammi paketist leitud allkiri loogiliselt See ei kuulu õigustatud arendajate hulka, Apple'it on teavitatud selle ettevõtte ligipääsu tühistamisest, kuna see ei kuulu arendajatele. Arendajad on nakatunud koopia kiiresti oma serveritest eemaldanud, niipea kui neile on sellest probleemist teatatud.
Tundub, et ettevõtte serverite turvalisusel on uks alati lahti, sest see on juba teine kord, kui häkkerid on sinna sisse hiilinud ja algse allalaadimisfaili koopia vastu välja vahetanud. Varem oli installipaketti hiilinud pahavara KeRanger. Hoolimata uurimistest, mida nad iga kord teevad, sisenevad häkkerid ikka ja jälle. Näib, et nad peavad end millekski muuks pühendama või valima serveri vahetamise. Praegu on uus eksemplar juba Githubi serverites salvestatud.
Kuidas eemaldada Keynap meie ülekandega nakatunud Macist
ESET Research soovitab kõigil kasutajatel, kes on iTransmissioni alla laadinud ja installinud 28. – 29 leidke ja kustutage mõni neist failidest või kataloogidest oma Mac-is:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Raamatukogu / Rakendustugi / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Raamatukogu / Rakendustugi / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Raamatukogu / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Raamatukogu / Rakendustugi / com.apple.iCloud.sync.daemon /
- $ HOME / Library / LaunchAgents / com.geticloud.icloud.photo.plist
Järgmisena peame minema aktiivsusmonitori ja halvata järgmiste failidega seotud protsessid:
- icloudproc
- litsents.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
Järgmine desinstallige rakendus meie süsteemist ja laadige ülekanne uuesti alla Githubi serveritest, kus nad seda on hostinud, kuna see pakub suuremat turvalisust kui nende enda serverid.