Nampaknya pembangun Transmission menjadi sasaran penggodam, kerana ini bukan pertama kalinya melalui perisian ini memuat turun fail beberapa perisian hasad lain menyelinap ke Mac di mana ia dipasang. Pada kesempatan ini, perisian hasad diedarkan melalui muat turun aplikasi ini antara 28 dan 29 Ogos. Pakej pemasangan ini mempunyai perisian hasad Keydnap di dalamnya. Versi perisian hasad sebelumnya memerlukan pengguna untuk mengklik fail berbahaya, yang secara automatik membuka Terminal. Kemudian malware menunggu aplikasi dijalankan dan menunjukkan kepada kami tetingkap yang meminta pengesahan.
Tetapi dalam versi baru ini, perisian hasad ini tidak memerlukan aplikasi kedua untuk dijalankan atau pengguna mengesahkannya dipasang bersamaan dengan Transmisi. Oleh kerana aplikasi tersebut ditandatangani oleh Apple, Gatekeeper membenarkan pelaksanaan aplikasi ini tanpa memeriksa pada bila-bila masa sama ada perisian hasad termasuk atau tidak.
Setelah dipasang dan anda mempunyai kawalan ke atas Mac anda, kemas kini malware Keydnap baru ini dapat digunakan untuk mengakses rantai kunci di mana kami menyimpan semua kata laluan dikaitkan dengan laman web, secara logik termasuk yang mengakses akaun bank kami. Tetapi ia tidak membatasi diri untuk memiliki akses, memuat turun fail dengan cepat ke pelayan yang telah mengembangkan perisian hasad ini.
Tandatangan yang terdapat dalam pakej pemasang Penghantaran secara logik Ia bukan milik pemaju yang sah, Apple telah dimaklumkan untuk mencabut akses ke firma ini kerana bukan milik syarikat pemaju. Pembangun dengan cepat terus mengeluarkan salinan yang dijangkiti dari pelayan mereka sebaik sahaja mereka diberitahu mengenai masalah ini.
Nampaknya keselamatan pelayan syarikat sentiasa terbuka, kerana ini adalah kali kedua penggodam menyelinap masuk ke dalamnya dan menukar fail muat turun asal untuk salinan dengan perisian hasad yang disertakan. Sebelumnya, malware yang menyelinap ke pakej pemasangan adalah KeRanger. Walaupun ada penyiasatan yang mereka lakukan setiap kali, penggodam masuk berulang kali. Nampaknya mereka harus mengabdikan diri untuk sesuatu yang lain atau memilih untuk menukar pelayan. Buat masa ini salinan baru sudah disimpan di pelayan Github.
Cara membuang Keynap dari Mac kami yang dijangkiti oleh Transmission
ESET Research mengesyorkan agar semua pengguna yang telah memuat turun dan memasang iTransmission antara 28 hingga 29hb cari dan padam mana-mana fail atau direktori ini di Mac anda:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volume/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ RUMAH / Perpustakaan / Sokongan Aplikasi / com.apple.iCloud.sync.daemon / icloudsyncd
- $ RUMAH / Perpustakaan / Sokongan Aplikasi / com.apple.iCloud.sync.daemon / process.id
- $ RUMAH / Perpustakaan / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Perpustakaan / Sokongan Aplikasi / com.apple.iCloud.sync.daemon /
- $ RUMAH / Perpustakaan / LaunchAgents / com.geticloud.icloud.photo.plist
Seterusnya kita mesti pergi ke Monitor Aktiviti dan melumpuhkan sebarang proses yang berkaitan dengan fail berikut:
- icloudproc
- Lesen.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
Kemudian nyahpasang aplikasi dari sistem kami dan muat turun semula Transmisi lagi dari pelayan Github, di mana mereka telah menghoskannya kerana ia menawarkan keselamatan yang lebih besar daripada pelayan mereka sendiri.
