Zdá sa, že vývojári Transmission sú terčom hackerov, pretože nie tento softvér sťahuje súbory prvýkrát nejaký ďalší malware sa vkradne do počítačov Mac, kde je nainštalovaný. Pri tejto príležitosti bol škodlivý softvér distribuovaný prostredníctvom stiahnutí tejto aplikácie medzi 28. a 29. augustom. Tento inštalačný balík mal v sebe malware Keydnap. Predchádzajúca verzia tohto malvéru vyžadovala, aby používatelia klikli na škodlivý súbor, ktorý automaticky otvoril Terminál. Potom malware čakal na spustenie aplikácie a ukázal nám okno so žiadosťou o autentizáciu.
Ale v tejto novej verzii tento malware nevyžaduje na spustenie druhú aplikáciu ani jednoduchú autentizáciu používateľa nainštalované spoločne s prevodovkou. Pretože bola aplikácia podpísaná spoločnosťou Apple, Gatekeeper umožňuje spustenie tejto aplikácie bez toho, aby kedykoľvek skontroloval, či obsahuje alebo neobsahuje malware.
Po nainštalovaní a získaní kontroly nad našim počítačom Mac dokáže táto nová aktualizácia škodlivého softvéru Keydnap slúži na prístup k kľúčenke, kde sú uložené všetky heslá spojené s webovými stránkami, logicky vrátane tých pre prístup k našim bankovým účtom. Ale neobmedzuje sa iba na prístup, rýchlo stiahne súbor na servery, ktoré vyvinuli tento malware.
Podpis nájdený v inštalačnom balíku Transmission logicky Nie je to ten, ktorý patrí legitímnym vývojárom„Spoločnosť Apple bola informovaná o zrušení prístupu k tejto spoločnosti, pretože nejde o spoločnosť, ktorá patrí vývojárom. Vývojári rýchlo pristúpili k odstráneniu infikovanej kópie zo svojich serverov, hneď ako boli o tomto probléme informovaní.
Zdá sa, že bezpečnosť serverov spoločnosti má vždy dvere otvorené, pretože je to druhýkrát, čo sa k nim hackeri vkradli a zmenili pôvodný súbor na stiahnutie na kópiu s obsahom malvéru. Malvér, ktorý sa predtým dostal do inštalačného balíka, bol KeRanger. Napriek vyšetrovaniam, ktoré zakaždým vykonávajú, do nich hackeri vstupujú znova a znova. Zdá sa, že sa budú musieť venovať niečomu inému alebo sa rozhodnú zmeniť servery. V súčasnosti je nová kópia už uložená na serveroch Github.
Ako odstrániť Keynap z nášho počítača Mac infikovaného prenosom
Spoločnosť ESET Research odporúča všetkým používateľom, ktorí si stiahli a nainštalovali iTransmission medzi 28. a 29. dňom vyhľadajte a odstráňte ktorýkoľvek z týchto súborov alebo adresárov vo svojich počítačoch Mac:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Knižnica / Podpora aplikácií / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Knižnica / Podpora aplikácií / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Knižnica / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Library / Application Support / com.apple.iCloud.sync.daemon /
- $ HOME / Knižnica / LaunchAgents / com.geticloud.icloud.photo.plist
Ďalej musíme prejsť na Monitor aktivity a paralyzovať akýkoľvek proces súvisiaci s nasledujúcimi súbormi:
- icloudproc
- Licencia.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
potom odinštalujte aplikáciu z nášho systému a znova prevezmite prenos zo serverov Github, kde ho hostili, pretože ponúka väčšie zabezpečenie ako ich vlastné servery.