Sembra che gli sviluppatori di Transmission siano l'obiettivo degli hacker, poiché non è la prima volta attraverso questo software che scaricano file qualche altro malware si intrufola nel Mac in cui è installato. In questa occasione, il malware è stato distribuito tramite i download di questa applicazione tra il 28 e il 29 agosto. Questo pacchetto di installazione conteneva il malware Keydnap al suo interno. La versione precedente di questo malware richiedeva agli utenti di fare clic su un file dannoso, che apriva automaticamente Terminal. Quindi il malware ha atteso l'esecuzione dell'applicazione e ci ha mostrato una finestra che richiedeva l'autenticazione.
Ma in questa nuova versione, questo malware non richiede l'esecuzione di una seconda applicazione o l'autenticazione dell'utente, semplicemente installato congiuntamente alla trasmissione. Poiché l'applicazione è stata firmata da Apple, Gatekeeper consente l'esecuzione di questa applicazione senza verificare in qualsiasi momento se include malware o meno.
Una volta installato e ha avuto il controllo sul nostro Mac, questo nuovo aggiornamento malware di Keydnap può farlo utilizzato per accedere al portachiavi in cui memorizziamo tutte le password associati alle pagine web, logicamente comprese quelle per l'accesso ai nostri conti bancari. Ma non si limita ad avere accesso, scarica rapidamente il file sui server che hanno sviluppato questo malware.
La firma trovata logicamente nel pacchetto di installazione di Transmission Non è quello che appartiene agli sviluppatori legittimi, Apple è stata informata di revocare l'accesso a questa azienda poiché non è quella che appartiene agli sviluppatori. Gli sviluppatori hanno proceduto rapidamente a rimuovere la copia infetta dai loro server non appena sono stati informati di questo problema.
Sembra che la sicurezza dei server dell'azienda abbia sempre la porta aperta, perché questa è la seconda volta che gli hacker si sono intrufolati in loro e hanno cambiato il file di download originale per una copia con malware incluso. In precedenza, il malware che si intrufolava nel pacchetto di installazione era KeRanger. Nonostante le indagini che conducono ogni volta, gli hacker entrano ancora e ancora. Sembra che dovranno dedicarsi a qualcos'altro o scegliere di cambiare server. Al momento la nuova copia è già archiviata sui server Github.
Come rimuovere Keynap dal nostro Mac infettato da Transmission
ESET Research consiglia a tutti gli utenti che hanno scaricato e installato iTransmission tra il 28 e il 29 trova ed elimina uno qualsiasi di questi file o directory sui tuoi Mac:
- /Applicazioni/Transmission.app/Contents/Resources/License.rtf
- /Volumi/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Libreria / Supporto applicazioni / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Libreria / Supporto applicazioni / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Library / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Library / Application Support / com.apple.iCloud.sync.daemon /
- $ HOME / Libreria / LaunchAgents / com.geticloud.icloud.photo.plist
Successivamente dobbiamo andare al Monitoraggio delle attività e paralizza qualsiasi processo relativo ai seguenti file:
- icloudproc
- Licenza.rtf
- icloudsync
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
Poi disinstallare l'applicazione dal nostro sistema e scaricare di nuovo Transmission dai server Github, dove l'hanno ospitato perché offre una maggiore sicurezza rispetto ai propri server.
