ดูเหมือนว่าผู้พัฒนา Transmission จะตกเป็นเป้าหมายของแฮกเกอร์เนื่องจากไม่ใช่ครั้งแรกที่ซอฟต์แวร์นี้ดาวน์โหลดไฟล์ มัลแวร์อื่น ๆ บางตัวแอบเข้ามาใน Mac ที่ติดตั้ง. ในโอกาสนี้มัลแวร์ได้รับการแจกจ่ายผ่านการดาวน์โหลดแอปพลิเคชันนี้ระหว่างวันที่ 28 ถึง 29 สิงหาคม แพ็คเกจการติดตั้งนี้มีมัลแวร์ Keydnap อยู่ภายใน เวอร์ชันก่อนหน้าของมัลแวร์นี้ต้องการให้ผู้ใช้คลิกไฟล์ที่เป็นอันตรายซึ่งจะเปิด Terminal โดยอัตโนมัติ จากนั้นมัลแวร์จะรอให้แอปพลิเคชันทำงานและแสดงหน้าต่างเพื่อขอการตรวจสอบสิทธิ์
แต่ในเวอร์ชันใหม่นี้มัลแวร์นี้ไม่จำเป็นต้องใช้แอปพลิเคชันที่สองในการเรียกใช้หรือผู้ใช้ในการตรวจสอบสิทธิ์เพียงอย่างเดียว ติดตั้งร่วมกับ Transmission. เนื่องจากแอปพลิเคชันได้รับการลงนามโดย Apple Gatekeeper จึงอนุญาตให้เรียกใช้แอปพลิเคชันนี้โดยไม่ต้องตรวจสอบได้ตลอดเวลาว่ามีมัลแวร์รวมอยู่หรือไม่
เมื่อติดตั้งและสามารถควบคุม Mac ของเราได้แล้วการอัปเดตมัลแวร์ Keydnap ใหม่นี้สามารถทำได้ ใช้ในการเข้าถึงพวงกุญแจที่เราเก็บรหัสผ่านทั้งหมด ที่เกี่ยวข้องกับหน้าเว็บรวมทั้งหน้าเว็บสำหรับการเข้าถึงบัญชีธนาคารของเรา แต่มันไม่ได้ จำกัด เพียงแค่การเข้าถึงมันดาวน์โหลดไฟล์ไปยังเซิร์ฟเวอร์ที่พัฒนามัลแวร์นี้อย่างรวดเร็ว
ลายเซ็นที่พบในแพคเกจโปรแกรมติดตั้ง Transmission มีเหตุผล ไม่ใช่สิ่งที่เป็นของนักพัฒนาที่ถูกต้องตามกฎหมายApple ได้รับแจ้งให้เพิกถอนการเข้าถึง บริษัท นี้เนื่องจากไม่ใช่ บริษัท ที่เป็นของนักพัฒนา นักพัฒนาได้ดำเนินการอย่างรวดเร็วเพื่อลบสำเนาที่ติดไวรัสออกจากเซิร์ฟเวอร์ของตนทันทีที่ได้รับแจ้งถึงปัญหานี้
ดูเหมือนว่าความปลอดภัยของเซิร์ฟเวอร์ของ บริษัท จะเปิดประตูอยู่เสมอ เนื่องจากนี่เป็นครั้งที่สองที่แฮกเกอร์แอบเข้ามาและเปลี่ยนไฟล์ดาวน์โหลดต้นฉบับสำหรับสำเนาที่มีมัลแวร์รวมอยู่ด้วย ก่อนหน้านี้มัลแวร์ที่แอบเข้ามาในแพ็คเกจการติดตั้งคือ KeRanger แม้จะมีการตรวจสอบในแต่ละครั้ง แต่แฮกเกอร์ก็เข้ามาครั้งแล้วครั้งเล่า ดูเหมือนว่าพวกเขาจะต้องอุทิศตัวเองให้กับสิ่งอื่นหรือเลือกที่จะเปลี่ยนเซิร์ฟเวอร์ ในขณะนี้สำเนาใหม่ถูกเก็บไว้บนเซิร์ฟเวอร์ Github แล้ว
วิธีลบ Keynap จาก Mac ของเราที่ติดเชื้อ Transmission
ESET Research ขอแนะนำให้ผู้ใช้ทุกคนที่ดาวน์โหลดและติดตั้ง iTransmission ระหว่างวันที่ 28 ถึง 29 ค้นหาและลบไฟล์หรือไดเร็กทอรีเหล่านี้บน Mac ของคุณ:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Library / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Library / Application Support / com.apple.iCloud.sync.daemon /
- $ HOME / Library / LaunchAgents / com.geticloud.icloud.photo.plist
ต่อไปเราต้องไปที่การตรวจสอบกิจกรรมและ ทำให้กระบวนการใด ๆ ที่เกี่ยวข้องกับไฟล์ต่อไปนี้เป็นอัมพาต:
- icloudproc
- ใบอนุญาต.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
แล้วก็ ถอนการติดตั้งแอปพลิเคชันจากระบบของเรา และดาวน์โหลด Transmission อีกครั้งจากเซิร์ฟเวอร์ Github ซึ่งโฮสต์ไว้เนื่องจากมีความปลอดภัยมากกว่าเซิร์ฟเวอร์ของตัวเอง