Čini se da su programeri Transmisije meta hakera, jer nije prvi put putem ovog softvera preuzimati datoteke neki drugi zlonamjerni softver uvlači se u Mac na kojem je instaliran. Tom je prilikom zlonamjerni softver distribuiran putem preuzimanja ove aplikacije između 28. i 29. kolovoza. U ovom je instalacijskom paketu bilo zlonamjernog softvera Keydnap. Prethodna verzija ovog zlonamjernog softvera zahtijevala je od korisnika da kliknu na zlonamjernu datoteku koja automatski otvara terminal. Tada je zlonamjerni softver pričekao izvršenje aplikacije i pokazao nam prozor u kojem se traži autentifikacija.
No, u ovoj novoj verziji ovaj zlonamjerni softver ne zahtijeva drugu aplikaciju za pokretanje niti korisnika za autentifikaciju, jednostavno instaliran zajedno s mjenjačem. Budući da je aplikaciju potpisao Apple, Gatekeeper omogućuje izvršavanje ove aplikacije bez provjere u bilo kojem trenutku ima li zlonamjerni softver ili ne.
Jednom instalirano i ima kontrolu nad našim Macom, ovo novo ažuriranje malware-a Keydnap može koristi se za pristup lancu ključeva u kojem pohranjujemo sve lozinke povezane s web stranicama, logično uključujući i one za pristup našim bankovnim računima. Ali to se ne ograničava na pristup, datoteku brzo preuzima na poslužitelje koji su razvili ovaj zlonamjerni softver.
Potpis logično pronađen u paketu za instalaciju mjenjača Nije ona koja pripada legitimnim programerima, Apple je obaviješten da opoziva pristup ovoj tvrtki jer ona nije ona koja pripada programerima. Programeri su brzo nastavili uklanjati zaraženu kopiju sa svojih poslužitelja čim su obaviješteni o ovom problemu.
Čini se da su sigurnost poslužitelja tvrtke uvijek otvorena, jer im je ovo drugi put da su se hakeri ušuljali i promijenili izvornu datoteku za preuzimanje u kopiju s uključenim zlonamjernim softverom. Prije je zlonamjerni softver koji se skrivao u instalacijskom paketu bio KeRanger. Unatoč istragama koje svaki put provode, hakeri ulaze iznova i iznova. Čini se da će se morati posvetiti nečemu drugom ili odabrati promjenu poslužitelja. Trenutno je nova kopija već pohranjena na Github poslužiteljima.
Kako ukloniti Keynap s našeg Maca zaraženog prijenosom
ESET Research preporučuje svim korisnicima koji su preuzeli i instalirali iTransmission između 28. i 29 pronađite i izbrišite bilo koju od ovih datoteka ili direktorija na svojim računalima Mac:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Biblioteka / Podrška aplikacija / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Library / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Biblioteka / Podrška aplikacija / com.apple.iCloud.sync.daemon /
- $ HOME / Library / LaunchAgents / com.geticloud.icloud.photo.plist
Dalje moramo otići na Monitor aktivnosti i paralizirati bilo koji postupak povezan sa sljedećim datotekama:
- icloudproc
- Licenca.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
tada deinstalirajte aplikaciju iz našeg sustava i ponovo preuzmite Transmission s Github poslužitelja, gdje su ga ugostili, jer nudi veću sigurnost od vlastitih poslužitelja.
