Det verkar som om utvecklarna av Transmission är mål för hackare, eftersom det inte är första gången genom denna programvara att ladda ner filer någon annan skadlig programvara smyger in på Mac där den är installerad. Vid detta tillfälle distribuerades skadlig programvara genom nedladdningar av denna applikation mellan 28 och 29 augusti. Det här installationspaketet innehöll skadlig programvara från Keydnap. Den tidigare versionen av detta skadliga program krävde att användare klickade på en skadlig fil som automatiskt öppnade Terminal. Då väntade skadlig programvara på att applikationen skulle köras och visade oss ett fönster där vi begär autentisering.
Men i den här nya versionen kräver den här skadliga programvaran inte en andra applikation för att köras eller användaren att autentisera, helt enkelt installeras tillsammans med Transmission. Eftersom applikationen undertecknades av Apple tillåter Gatekeeper körningen av denna applikation utan att när som helst kontrollera om den innehåller skadlig kod eller inte.
När den har installerats och har haft kontroll över vår Mac kan den nya uppdateringen av skadlig programvara för Keydnap används för att komma åt nyckelringen där vi lagrar alla lösenord kopplat till webbsidor, logiskt inklusive de för åtkomst till våra bankkonton. Men det begränsar sig inte till att ha åtkomst, det laddar snabbt ner filen till servrarna som har utvecklat denna skadliga programvara.
Signaturen finns i installationspaketet för sändning logiskt Det är inte den som tillhör de legitima utvecklarnaHar Apple informerats om att återkalla åtkomst till detta företag eftersom det inte är det som tillhör utvecklarna. Utvecklarna har snabbt gått vidare med att ta bort den infekterade kopian från sina servrar så snart de har meddelats om detta problem.
Det verkar som om säkerheten på företagets servrar alltid har dörren öppen, eftersom det är andra gången som hackare smyger in dem och ändrar den ursprungliga nedladdningsfilen för en kopia med skadlig kod inkluderad. Tidigare var skadlig programvara som smög sig in i installationspaketet KeRanger. Trots de utredningar de gör varje gång kommer hackare in igen och igen. Det verkar som om de kommer att behöva ägna sig åt något annat eller välja att byta servrar. För närvarande är den nya kopian redan lagrad på Github-servrarna.
Hur tar jag bort Keynap från vår Mac infekterad av överföring
ESET Research rekommenderar att alla användare som har laddat ner och installerat iTransmission mellan 28 och 29 hitta och ta bort någon av dessa filer eller kataloger på dina Mac-datorer:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Library / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Bibliotek / Application Support / com.apple.iCloud.sync.daemon /
- $ HEM / Bibliotek / LaunchAgents / com.geticloud.icloud.photo.plist
Därefter måste vi gå till Aktivitetsövervakaren och paralysera alla processer relaterade till följande filer:
- icloudproc
- license.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
sedan avinstallera programmet från vårt system och ladda ner sändningen igen från Github-servrarna, där de har värd för den eftersom den erbjuder större säkerhet än deras egna servrar.
