Úgy tűnik, hogy a Transmission fejlesztői a hackerek célpontjai, mivel nem először töltenek le fájlokat ezen a szoftveren keresztül néhány más rosszindulatú program behatol a Mac-be, ahol telepítve van. Ebből az alkalomból a kártékony programot az alkalmazás letöltésein keresztül terjesztették augusztus 28. és 29. között. Ebben a telepítőcsomagban Keydnap kártevő volt. A rosszindulatú program előző verziójának használatához a felhasználóknak egy rosszindulatú fájlra kellett kattintaniuk, amely automatikusan megnyitotta a terminált. Ezután a rosszindulatú program megvárta az alkalmazás futtatását, és megmutatott nekünk egy hitelesítést kérő ablakot.
De ebben az új verzióban ez a kártevő nem igényel második alkalmazás futtatását vagy a felhasználó hitelesítését a sebességváltóval együtt telepítve. Mivel az alkalmazást az Apple írta alá, a Gatekeeper lehetővé teszi az alkalmazás futtatását anélkül, hogy bármikor ellenőrizné, van-e benne rosszindulatú program.
A telepítés és a Mac felett való vezérlés után ez az új Keydnap malware frissítés képes a kulcstartó eléréséhez használják, ahol az összes jelszót tároljuk weboldalakhoz társítva, logikailag beleértve a bankszámláinkhoz való hozzáférést is. De nem korlátozza magát a hozzáférésre, gyorsan letölti a fájlt azokra a szerverekre, amelyek fejlesztették ezt a rosszindulatú programot.
A Transmission installer csomagban található aláírás logikailag Nem a legális fejlesztőké, Az Apple értesítést kapott, hogy vonja vissza a céghez való hozzáférést, mivel nem ez tartozik a fejlesztőkhöz. A fejlesztők gyorsan eltávolították a fertőzött példányt szervereikről, amint értesítették őket erről a problémáról.
Úgy tűnik, hogy a vállalat szervereinek biztonsága mindig nyitva van, mert ez a második alkalom, hogy a hackerek belopakodtak közéjük, és az eredeti letöltési fájlt egy rosszindulatú programot tartalmazó példányra cserélték. Korábban a telepítőcsomagba behatoló rosszindulatú program a KeRanger volt. A minden alkalommal végzett vizsgálatok ellenére a hackerek újra és újra belépnek. Úgy tűnik, hogy valaminek szentelniük kell magukat, vagy szervert kell cserélniük. Jelenleg az új példányt már a Github szerverek tárolják.
Hogyan lehet eltávolítani a Keynap-et az átvitellel megfertőzött Mac-ből
Az ESET Research azt ajánlja minden felhasználónak, aki letöltötte és telepítette az iTransmission szolgáltatást 28. és 29. között keresse meg és törölje ezen fájlok vagy könyvtárak bármelyikét a Mac gépén:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Kötetek/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Könyvtár / Alkalmazástámogatás / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Könyvtár / Alkalmazástámogatás / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Könyvtár / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Könyvtár / Alkalmazástámogatás / com.apple.iCloud.sync.daemon /
- $ HOME / Könyvtár / LaunchAgents / com.geticloud.icloud.photo.plist
Ezután el kell mennünk az Activity Monitorra és megbénítja a következő fájlokkal kapcsolatos folyamatokat:
- icloudproc
- licenc.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
majd távolítsa el az alkalmazást a rendszerünkről és töltse le újra az Átvitelt a Github szerverekről, ahol ők üzemeltették, mert nagyobb biztonságot kínál, mint a saját szervereik.