Похоже, что разработчики Transmission являются целью хакеров, так как это не первый раз, когда через это ПО скачивают файлы некоторые другие вредоносные программы проникают на Mac, где они установлены. В данном случае вредоносная программа распространялась посредством загрузок этого приложения с 28 по 29 августа. В этом установочном пакете было вредоносное ПО Keydnap. Предыдущая версия этой вредоносной программы требовала, чтобы пользователи нажимали на вредоносный файл, который автоматически открывал Терминал. Затем вредоносная программа дождалась запуска приложения и показала нам окно с запросом аутентификации.
Но в этой новой версии это вредоносное ПО не требует запуска второго приложения или аутентификации пользователя, просто устанавливается совместно с Transmission. Поскольку приложение было подписано Apple, Gatekeeper позволяет запускать это приложение без какой-либо проверки наличия вредоносного ПО.
После установки и контроля над нашим Mac это новое обновление вредоносного ПО Keydnap используется для доступа к связке ключей, где мы храним все пароли связанные с веб-страницами, включая те, которые используются для доступа к нашим банковским счетам. Но он не ограничивается доступом, он быстро загружает файл на серверы, на которых разработано это вредоносное ПО.
Подпись, найденная в пакете установщика Transmission, логически Это не тот, который принадлежит законным разработчикам, Apple была проинформирована об отмене доступа к этой фирме, поскольку она не принадлежит разработчикам. Разработчики сразу же приступили к удалению зараженной копии со своих серверов, как только узнали об этой проблеме.
Кажется, что безопасность серверов компании всегда открыта, потому что это второй раз, когда хакеры проникли в них и изменили исходный файл загрузки на копию с включенным вредоносным ПО. Раньше в установочный пакет проникало вредоносное ПО KeRanger. Несмотря на расследования, которые они проводят каждый раз, хакеры входят снова и снова. Похоже, им придется посвятить себя чему-то другому или выбрать смену серверов. На данный момент новая копия уже хранится на серверах Github.
Как удалить Keynap с нашего Mac, зараженного передачей
ESET Research рекомендует всем пользователям, которые загрузили и установили iTransmission в период с 28 по 29 число. найти и удалить любой из этих файлов или каталогов на вашем Mac:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Библиотека / Поддержка приложений / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Библиотека / Поддержка приложений / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Библиотека / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Библиотека / Поддержка приложений / com.apple.iCloud.sync.daemon /
- $ HOME / Библиотека / LaunchAgents / com.geticloud.icloud.photo.plist
Затем мы должны перейти к Activity Monitor и парализовать любой процесс, связанный со следующими файлами:
- icloudproc
- Лицензия.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
то удалить приложение из нашей системы и снова загрузите Transmission с серверов Github, где они разместили его, потому что он обеспечивает большую безопасность, чем их собственные серверы.