Parece que os desenvolvedores do Transmission são alvo de hackers, já que não é a primeira vez que através deste software baixam arquivos algum outro malware entra furtivamente no Mac onde está instalado. Nesta ocasião, o malware foi distribuído por meio dos downloads deste aplicativo entre 28 e 29 de agosto. Este pacote de instalação continha malware Keydnap dentro dele. A versão anterior desse malware exigia que os usuários cliquem em um arquivo malicioso, que abre automaticamente o Terminal. Então, o malware esperou que o aplicativo fosse executado e nos mostrou uma janela pedindo autenticação.
Mas nesta nova versão, este malware não requer um segundo aplicativo para ser executado ou o usuário para autenticar, simplesmente instalado em conjunto com a transmissão. Uma vez que a aplicação foi assinada pela Apple, o Gatekeeper permite a execução desta aplicação sem verificar a qualquer momento se tem ou não malware incluído.
Uma vez instalada e com controle sobre nosso Mac, esta nova atualização de malware do Keydnap pode usado para acessar o chaveiro onde armazenamos todas as senhas associados a páginas da web, incluindo logicamente aquelas para acessar nossas contas bancárias. Mas não se limita a ter acesso, baixa rapidamente o arquivo para os servidores que desenvolveram esse malware.
A assinatura encontrada no pacote do instalador do Transmission logicamente Não pertence a desenvolvedores legítimos, A Apple foi informada para revogar o acesso a esta empresa, uma vez que não é a que pertence aos desenvolvedores. Os desenvolvedores removeram rapidamente a cópia infectada de seus servidores assim que foram notificados sobre o problema.
Parece que a segurança dos servidores da empresa está sempre de porta aberta, porque esta é a segunda vez que hackers se infiltraram neles e trocaram o arquivo de download original por uma cópia com malware incluído. Anteriormente, o malware que entrava furtivamente no pacote de instalação era o KeRanger. Apesar das investigações que realizam todas as vezes, os hackers entram novamente e novamente. Parece que eles terão que se dedicar a outra coisa ou optar por trocar de servidor. No momento, a nova cópia já está armazenada nos servidores do Github.
Como remover o Keynap de nosso Mac infectado por Transmission
A ESET Research recomenda que todos os usuários que baixaram e instalaram o iTransmission entre os dias 28 e 29 encontre e exclua qualquer um desses arquivos ou diretórios em seus Macs:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Library / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Library / Application Support / com.apple.iCloud.sync.daemon /
- $ HOME / Library / LaunchAgents / com.geticloud.icloud.photo.plist
Em seguida, devemos ir para o Monitor de Atividades e paralisar qualquer processo relacionado aos seguintes arquivos:
- icloudproc
- licença.rtf
- iCloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
Depois desinstale o aplicativo de nosso sistema e baixe o Transmission novamente dos servidores do Github, onde o hospedaram, porque oferece maior segurança do que seus próprios servidores.
