Vaikuttaa siltä, että lähetyksen kehittäjät ovat hakkereiden kohteena, koska tiedostojen lataaminen tämän ohjelmiston kautta ei ole ensimmäinen kerta jotkut muut haittaohjelmat livahtavat Maciin, johon se on asennettu. Tässä yhteydessä haittaohjelma jaettiin tämän sovelluksen latausten kautta 28. – 29. Tämän asennuspaketin sisällä oli Keydnap-haittaohjelma. Tämän haittaohjelman edellinen versio vaati käyttäjiä napsauttamaan haitallista tiedostoa, joka avasi päätelaitteen automaattisesti. Sitten haittaohjelma odotti sovelluksen suorittamista ja näytti meille ikkunan, jossa pyydettiin todentamista.
Mutta tässä uudessa versiossa tämä haittaohjelma ei vaadi toisen sovelluksen suorittamista tai käyttäjän todentamista yksinkertaisesti asennetaan yhdessä Transmissionin kanssa. Koska Apple on allekirjoittanut sovelluksen, Gatekeeper sallii sovelluksen suorittamisen tarkistamatta milloin tahansa, onko siinä haittaohjelmia vai ei.
Kun uusi Mac-tietokone on asennettu ja hallinnut sitä, tämä uusi Keydnap-haittaohjelmapäivitys voi käytetään avaimenperään, johon tallennamme kaikki salasanat liittyvät verkkosivuihin, mukaan lukien loogisesti pankkitilejä käyttävät sivut Mutta se ei rajoitu vain pääsyyn, se lataa tiedoston nopeasti palvelimille, jotka ovat kehittäneet tämän haittaohjelman.
Transmission installer -paketista löytyvä allekirjoitus loogisesti Se ei kuulu laillisiin kehittäjiin, Applelle on ilmoitettu peruuttavan pääsyn tälle yritykselle, koska se ei kuulu kehittäjille. Kehittäjät ovat nopeasti poistaneet tartunnan saaneen kopion palvelimistaan heti, kun heille on ilmoitettu tästä ongelmasta.
Näyttää siltä, että yrityksen palvelinten turvallisuudessa ovi on aina auki, koska tämä on toinen kerta, kun hakkerit ovat hiipineet niihin ja vaihtaneet alkuperäisen lataustiedoston kopioon, johon sisältyy haittaohjelma. Aikaisemmin asennuspakettiin hiipinyt haittaohjelmat olivat KeRanger. Hakkereista tulee joka kerta tekemistä tutkimuksista huolimatta. Näyttää siltä, että heidän on omistettava itsensä jollekin muulle tai päätettävä vaihtaa palvelinta. Tällä hetkellä uusi kopio on jo tallennettu Github-palvelimille.
Kuinka poistaa Keynap siirrosta tartunnan saaneesta Macistamme
ESET Research suosittelee kaikille käyttäjille, jotka ovat ladanneet ja asentaneet iTransmissionin 28. – 29 etsi ja poista kaikki nämä tiedostot tai hakemistot Mac-tietokoneistasi:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Kirjasto / Sovellustuki / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Kirjasto / Sovellustuki / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Kirjasto / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Kirjasto / Sovellustuki / com.apple.iCloud.sync.daemon /
- $ HOME / Kirjasto / LaunchAgents / com.geticloud.icloud.photo.plist
Seuraavaksi meidän on mentävä Activity Monitoriin ja lamauttaa kaikki seuraaviin tiedostoihin liittyvät prosessit:
- icloudproc
- licence.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
sitten poista sovellus järjestelmällemme ja lataa lähetys uudelleen Github-palvelimilta, missä he ovat isännöineet sitä, koska se tarjoaa paremman suojauksen kuin heidän omat palvelimensa.