Il semblerait que les développeurs de Transmission soient la cible de hackers, puisque ce n'est pas la première fois via ce logiciel de télécharger des fichiers certains autres logiciels malveillants se faufilent dans le Mac où il est installé. A cette occasion, le malware a été diffusé via les téléchargements de cette application entre le 28 et le 29 août. Ce package d'installation contenait un malware Keydnap. La version précédente de ce malware obligeait les utilisateurs à cliquer sur un fichier malveillant, ce qui ouvrait automatiquement le terminal. Ensuite, le malware a attendu que l'application soit exécutée et nous a montré une fenêtre demandant l'authentification.
Mais dans cette nouvelle version, ce malware ne nécessite pas une seconde application pour s'exécuter ou l'utilisateur pour s'authentifier, simplement installé conjointement avec Transmission. Puisque l'application a été signée par Apple, Gatekeeper permet l'exécution de cette application sans vérifier à tout moment si elle contient ou non un malware.
Une fois installée et a eu le contrôle sur notre Mac, cette nouvelle mise à jour du malware Keydnap peut utilisé pour accéder au trousseau où nous stockons tous les mots de passe associés à des pages Web, y compris logiquement celles permettant d'accéder à nos comptes bancaires. Mais il ne se limite pas à y avoir accès, il télécharge rapidement le fichier sur les serveurs qui ont développé ce malware.
La signature trouvée dans le package d'installation de Transmission logiquement Ce n'est pas celui qui appartient aux développeurs légitimes, Apple a été informé de révoquer l'accès à cette firme car ce n'est pas celle qui appartient aux développeurs. Les développeurs ont rapidement procédé à la suppression de la copie infectée de leurs serveurs dès qu'ils ont été informés de ce problème.
Il semble que la sécurité des serveurs de l'entreprise ait toujours la porte ouverte, parce que c'est la deuxième fois que des pirates se sont faufilés dans eux et ont changé le fichier de téléchargement original pour une copie avec des logiciels malveillants inclus. Auparavant, le malware qui se faufilait dans le package d'installation était KeRanger. Malgré les enquêtes qu'ils mènent à chaque fois, les hackers y pénètrent encore et encore. Il semble qu'ils vont devoir se consacrer à autre chose ou choisir de changer de serveur. Pour le moment, la nouvelle copie est déjà stockée sur les serveurs Github.
Comment supprimer Keynap de notre Mac infecté par transmission
ESET Research recommande à tous les utilisateurs qui ont téléchargé et installé iTransmission entre le 28 et le 29 recherchez et supprimez l'un de ces fichiers ou répertoires sur vos Mac:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Bibliothèque / Application Support / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Bibliothèque / Application Support / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Bibliothèque / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Bibliothèque / Application Support / com.apple.iCloud.sync.daemon /
- $ HOME / Bibliothèque / LaunchAgents / com.geticloud.icloud.photo.plist
Ensuite, nous devons aller au moniteur d'activité et paralyser tout processus lié aux fichiers suivants:
- icloudproc
- Licence.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
Puis désinstaller l'application de notre système et téléchargez à nouveau Transmission depuis les serveurs Github, où ils l'ont hébergé car il offre une plus grande sécurité que leurs propres serveurs.
