Tampaknya pengembang Transmisi adalah target peretas, karena ini bukan pertama kalinya melalui perangkat lunak ini mengunduh file. beberapa malware lain menyelinap ke Mac tempat ia diinstal. Pada kesempatan kali ini, malware didistribusikan melalui unduhan aplikasi ini antara 28 dan 29 Agustus. Paket instalasi ini memiliki malware Keydnap di dalamnya. Versi sebelumnya dari malware ini mengharuskan pengguna untuk mengklik file berbahaya, yang secara otomatis membuka Terminal. Kemudian malware menunggu aplikasi dijalankan dan menunjukkan kepada kami jendela yang meminta otentikasi.
Namun dalam versi baru ini, malware ini tidak memerlukan aplikasi kedua untuk dijalankan atau pengguna untuk mengautentikasi, cukup dipasang bersama dengan Transmisi. Sejak aplikasi ditandatangani oleh Apple, Gatekeeper memungkinkan eksekusi aplikasi ini tanpa memeriksa kapan pun apakah terdapat malware atau tidak.
Setelah diinstal dan memiliki kendali atas Mac kami, pembaruan malware Keydnap baru ini dapat digunakan untuk mengakses rantai kunci tempat kami menyimpan semua kata sandi terkait dengan halaman web, termasuk secara logis untuk mengakses rekening bank kami. Tetapi itu tidak membatasi dirinya untuk memiliki akses, itu dengan cepat mengunduh file ke server yang telah mengembangkan malware ini.
Tanda tangan yang ditemukan dalam paket pemasang Transmisi secara logis Ini bukan milik pengembang yang sah, Apple telah diinformasikan untuk mencabut akses ke perusahaan ini karena itu bukan milik pengembang. Pengembang dengan cepat melanjutkan untuk menghapus salinan yang terinfeksi dari server mereka segera setelah mereka diberitahu tentang masalah ini.
Tampaknya keamanan server perusahaan selalu membuka pintu, karena ini adalah kedua kalinya peretas menyelinap ke dalamnya dan mengubah file unduhan asli untuk salinan yang menyertakan malware. Sebelumnya, malware yang menyelinap ke dalam paket instalasi adalah KeRanger. Terlepas dari investigasi yang mereka lakukan setiap kali, peretas masuk lagi dan lagi. Tampaknya mereka harus mengabdikan diri pada hal lain atau memilih untuk berganti server. Saat ini salinan baru sudah disimpan di server Github.
Bagaimana menghapus Keynap dari Mac kami yang terinfeksi oleh Transmission
ESET Research merekomendasikan bahwa semua pengguna yang telah mendownload dan menginstal iTransmission antara tanggal 28 dan 29 temukan dan hapus file atau direktori ini di Mac Anda:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volume/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Perpustakaan / Dukungan Aplikasi / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Library / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Perpustakaan / Dukungan Aplikasi / com.apple.iCloud.sync.daemon /
- $ HOME / Library / LaunchAgents / com.geticloud.icloud.photo.plist
Selanjutnya kita harus pergi ke Monitor Aktivitas dan melumpuhkan proses apa pun yang terkait dengan file berikut:
- icloudproc
- Lisensi.rtf
- sinkronisasi icloud
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
Selanjutnya hapus instalan aplikasi dari sistem kami dan unduh Transmisi lagi dari server Github, tempat mereka menghostingnya karena menawarkan keamanan yang lebih baik daripada server mereka sendiri.