Wygląda na to, że programiści Transmisji są celem hakerów, ponieważ nie jest to pierwszy raz, kiedy to oprogramowanie pobiera pliki inne złośliwe oprogramowanie przedostaje się do komputera Mac, na którym jest zainstalowane. W tym przypadku złośliwe oprogramowanie było dystrybuowane za pośrednictwem pobierania tej aplikacji między 28 a 29 sierpnia. Ten pakiet instalacyjny zawierał złośliwe oprogramowanie Keydnap. Poprzednia wersja tego szkodliwego oprogramowania wymagała od użytkowników kliknięcia złośliwego pliku, który automatycznie otworzył terminal. Następnie malware czekał na uruchomienie aplikacji i pokazywał nam okno z prośbą o uwierzytelnienie.
Ale w nowej wersji to złośliwe oprogramowanie nie wymaga po prostu drugiej aplikacji do uruchomienia ani uwierzytelnienia użytkownika zainstalowane wspólnie z Transmission. Ponieważ aplikacja została podpisana przez firmę Apple, Gatekeeper umożliwia wykonanie tej aplikacji bez sprawdzania w dowolnym momencie, czy zawiera złośliwe oprogramowanie, czy nie.
Po zainstalowaniu i przejęciu kontroli nad naszym komputerem Mac, ta nowa aktualizacja złośliwego oprogramowania Keydnap może używany do uzyskiwania dostępu do pęku kluczy, w którym przechowujemy wszystkie hasła powiązane ze stronami internetowymi, logicznie łącznie z dostępami do naszych kont bankowych. Ale nie ogranicza się do posiadania dostępu, szybko pobiera plik na serwery, które opracowały to złośliwe oprogramowanie.
Podpis znajdujący się w pakiecie instalatora transmisji logicznie To nie jest ten, który należy do legalnych programistów, Apple został poinformowany o cofnięciu dostępu do tej firmy, ponieważ nie należy ona do programistów. Twórcy szybko przystąpili do usuwania zainfekowanej kopii ze swoich serwerów, gdy tylko zostali powiadomieni o tym problemie.
Wygląda na to, że bezpieczeństwo serwerów firmy ma zawsze otwarte drzwi, ponieważ to już drugi raz, kiedy hakerzy wkradli się do nich i zmienili oryginalny plik do pobrania na kopię zawierającą złośliwe oprogramowanie. Wcześniej złośliwym oprogramowaniem, które wkradło się do pakietu instalacyjnego, był KeRanger. Pomimo przeprowadzanych za każdym razem dochodzeń hakerzy wciąż wchodzą. Wygląda na to, że będą musieli poświęcić się czemuś innemu lub zdecydować się na zmianę serwerów. W tej chwili nowa kopia jest już przechowywana na serwerach Github.
Jak usunąć Keynap z naszego Maca zainfekowanego przez transmisję
Firma ESET Research zaleca wszystkim użytkownikom, którzy pobrali i zainstalowali usługę iTransmission między 28 a 29 dniem miesiąca znajdź i usuń dowolny z tych plików lub katalogów na komputerach Mac:
- /Aplikacje/Transmission.app/Zawartość/Zasoby/License.rtf
- /Wolumeny/Transmisja/Transmission.app/Zawartość/Zasoby/License.rtf
- $ HOME / Biblioteka / Obsługa aplikacji / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Library / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Library / Application Support / com.apple.iCloud.sync.daemon /
- $ HOME / Library / LaunchAgents / com.geticloud.icloud.photo.plist
Następnie musimy przejść do Monitora aktywności i sparaliżować wszelkie procesy związane z następującymi plikami:
- icloudproc
- Licencja.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
To odinstaluj aplikację z naszego systemu i ponownie pobierz transmisję z serwerów Github, na których ją hostowali, ponieważ zapewnia większe bezpieczeństwo niż ich własne serwery.
