이 소프트웨어를 통해 파일을 다운로드하는 것은 처음이 아니기 때문에 Transmission의 개발자가 해커의 표적이 된 것 같습니다. 다른 맬웨어가 설치된 Mac에 잠입. 이 경우 28 월 29 일부터 XNUMX 일까지이 애플리케이션을 다운로드하여 악성 코드가 유포되었습니다. 이 설치 패키지에는 내부에 Keydnap 맬웨어가 있습니다. 이 악성 코드의 이전 버전에서는 사용자가 악성 파일을 클릭해야했으며, 이는 자동으로 터미널을 열었습니다. 그런 다음 맬웨어는 응용 프로그램이 실행되기를 기다렸다가 인증을 요청하는 창을 표시했습니다.
하지만이 새 버전에서는이 악성 코드를 실행하기 위해 두 번째 애플리케이션을 실행하거나 사용자가 인증 할 필요가 없습니다. Transmission과 공동으로 설치. 응용 프로그램이 Apple에 의해 서명되었으므로 Gatekeeper는 맬웨어 포함 여부를 확인하지 않고이 응용 프로그램의 실행을 허용합니다.
이 새로운 Keydnap 맬웨어 업데이트를 설치하고 Mac을 제어하면 모든 암호를 저장하는 키 체인에 액세스하는 데 사용 은행 계좌에 액세스하기위한 페이지를 포함하여 논리적으로 웹 페이지와 연결됩니다. 그러나 액세스 권한에 국한되지 않고이 악성 코드를 개발 한 서버로 파일을 빠르게 다운로드합니다.
전송 설치 프로그램 패키지에서 논리적으로 찾은 서명 합법적 인 개발자에게 속한 것이 아닙니다., Apple은이 회사가 개발자 소유가 아니기 때문에이 회사에 대한 액세스 권한을 취소하라는 알림을 받았습니다. 개발자들은이 문제에 대한 알림을 받자 마자 서버에서 감염된 복사본을 신속하게 제거했습니다.
회사 서버의 보안은 항상 문이 열려있는 것 같습니다. 해커가 멀웨어가 포함 된 복사본의 원본 다운로드 파일을 변경 한 것은 이번이 두 번째이기 때문입니다. 이전에는 설치 패키지에 잠입 된 악성 코드가 KeRanger였습니다. 그들이 매번 수행하는 조사에도 불구하고 해커들은 계속해서 침입합니다. 그들은 다른 것에 전념하거나 서버를 변경해야 할 것 같습니다. 현재 새 복사본은 이미 Github 서버에 저장되어 있습니다.
Transmission에 감염된 Mac에서 Keynap을 제거하는 방법
ESET Research는 28 일과 29 일 사이에 iTransmission을 다운로드하고 설치 한 모든 사용자에게 권장합니다. Mac에서 이러한 파일 또는 디렉토리를 찾아 삭제하십시오.:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ 홈 / 라이브러리 / 애플리케이션 지원 / com.apple.iCloud.sync.daemon / icloudsyncd
- $ 홈 / 라이브러리 / 애플리케이션 지원 / com.apple.iCloud.sync.daemon / process.id
- $ 홈 / 라이브러리 / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / 라이브러리 / 애플리케이션 지원 / com.apple.iCloud.sync.daemon /
- $ 홈 / 라이브러리 / LaunchAgents / com.geticloud.icloud.photo.plist
다음으로 활동 모니터로 이동하여 다음 파일과 관련된 모든 프로세스를 마비시킵니다.:
- 아이클라우드프로
- 라이선스.rtf
- 아이클라우드싱크
- / usr / libexec / icloudsyncd-netlogon.bundle 시작
그런 다음 시스템에서 응용 프로그램 제거 자신의 서버보다 더 큰 보안을 제공하기 때문에 호스팅 한 Github 서버에서 Transmission을 다시 다운로드합니다.
