Het lijkt erop dat de ontwikkelaars van Transmission het doelwit zijn van hackers, aangezien het niet de eerste keer is dat via deze software bestanden worden gedownload een andere malware sluipt naar de Mac waar deze is geïnstalleerd. Bij deze gelegenheid werd de malware verspreid via de downloads van deze applicatie tussen 28 en 29 augustus. Dit installatiepakket bevatte Keydnap-malware. De vorige versie van deze malware vereiste dat gebruikers op een schadelijk bestand moesten klikken, waardoor de terminal automatisch werd geopend. Vervolgens wachtte de malware tot de toepassing werd uitgevoerd en liet ons een venster zien waarin ons om authenticatie werd gevraagd.
Maar in deze nieuwe versie heeft deze malware geen tweede applicatie nodig om te worden uitgevoerd of hoeft de gebruiker zich gewoon te authenticeren samen met Transmissie geïnstalleerd. Aangezien de applicatie is ondertekend door Apple, staat Gatekeeper de uitvoering van deze applicatie toe zonder op enig moment te controleren of er malware in zit of niet.
Eenmaal geïnstalleerd en controle heeft gehad over onze Mac, kan deze nieuwe Keydnap-malware-update dat wel gebruikt om toegang te krijgen tot de sleutelhanger waar we alle wachtwoorden opslaan geassocieerd met webpagina's, logischerwijs ook die voor toegang tot onze bankrekeningen. Maar het beperkt zich niet tot toegang, het downloadt het bestand snel op de servers die deze malware hebben ontwikkeld.
De handtekening die logischerwijs in het Transmission-installatiepakket is gevonden Het is niet het eigendom van legitieme ontwikkelaars, Is Apple geïnformeerd om de toegang tot dit bedrijf in te trekken, aangezien het niet het bedrijf is dat toebehoort aan de ontwikkelaars. De ontwikkelaars zijn snel overgegaan tot het verwijderen van de geïnfecteerde kopie van hun servers zodra ze op de hoogte werden gebracht van dit probleem.
Het lijkt erop dat de beveiliging van de servers van het bedrijf altijd de deur open heeft staan, omdat dit de tweede keer is dat hackers hen zijn binnengeslopen en het originele downloadbestand hebben gewijzigd voor een kopie met malware inbegrepen. Eerder was de malware die het installatiepakket binnensluipte KeRanger. Ondanks de onderzoeken die ze elke keer doen, komen hackers keer op keer binnen. Het lijkt erop dat ze zich aan iets anders zullen moeten wijden of ervoor kiezen om van server te veranderen. Op dit moment is de nieuwe kopie al opgeslagen op de Github-servers.
Hoe Keynap te verwijderen van onze Mac geïnfecteerd door transmissie
ESET Research raadt alle gebruikers aan die iTransmission hebben gedownload en geïnstalleerd tussen de 28e en 29e zoek en verwijder al deze bestanden of mappen op uw Macs:
- /Applicaties/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Bibliotheek / Application Support / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Bibliotheek / Application Support / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Bibliotheek / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Bibliotheek / Application Support / com.apple.iCloud.sync.daemon /
- $ HOME / Bibliotheek / LaunchAgents / com.geticloud.icloud.photo.plist
Vervolgens moeten we naar de Activity Monitor en gaan verlamt elk proces dat verband houdt met de volgende bestanden:
- icloudproc
- Licentie.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
dan verwijder de applicatie van ons systeem en download Transmission opnieuw van de Github-servers, waar ze het hebben gehost, omdat het meer veiligheid biedt dan hun eigen servers.