Có vẻ như các nhà phát triển của Transmission là mục tiêu của tin tặc, vì đây không phải là lần đầu tiên thông qua phần mềm này để tải tệp một số phần mềm độc hại khác xâm nhập vào máy Mac nơi nó được cài đặt. Nhân dịp này, phần mềm độc hại đã được phát tán thông qua việc tải xuống ứng dụng này trong khoảng thời gian từ ngày 28 đến 29 tháng XNUMX. Gói cài đặt này có phần mềm độc hại Keydnap bên trong nó. Phiên bản trước của phần mềm độc hại này yêu cầu người dùng nhấp vào một tệp độc hại, tệp này sẽ tự động mở Thiết bị đầu cuối. Sau đó, phần mềm độc hại chờ ứng dụng được thực thi và hiển thị cho chúng tôi một cửa sổ yêu cầu xác thực.
Nhưng trong phiên bản mới này, phần mềm độc hại này không yêu cầu ứng dụng thứ hai để chạy hoặc người dùng phải xác thực, đơn giản được cài đặt kết hợp với Truyền. Kể từ khi ứng dụng được ký bởi Apple, Gatekeeper cho phép thực thi ứng dụng này mà không cần kiểm tra bất kỳ lúc nào xem nó có bao gồm phần mềm độc hại hay không.
Sau khi cài đặt và bạn có quyền kiểm soát máy Mac của mình, bản cập nhật phần mềm độc hại Keydnap mới này có thể được sử dụng để truy cập chuỗi khóa nơi chúng tôi lưu trữ tất cả mật khẩu được liên kết với các trang web, bao gồm cả những trang web một cách hợp lý để truy cập vào tài khoản ngân hàng của chúng tôi. Nhưng nó không tự giới hạn quyền truy cập, nó nhanh chóng tải tệp xuống các máy chủ đã phát triển phần mềm độc hại này.
Chữ ký được tìm thấy trong gói trình cài đặt Truyền một cách hợp lý Nó không phải là cái thuộc về các nhà phát triển hợp pháp, Apple đã được thông báo thu hồi quyền truy cập vào công ty này vì nó không phải là công ty thuộc về các nhà phát triển. Các nhà phát triển đã nhanh chóng tiến hành xóa bản sao bị nhiễm virus khỏi máy chủ của họ ngay khi nhận được thông báo về sự cố này.
Có vẻ như việc bảo mật các máy chủ của công ty luôn có cửa mở, bởi vì đây là lần thứ hai tin tặc xâm nhập vào chúng và thay đổi tệp tải xuống gốc thành một bản sao có kèm theo phần mềm độc hại. Trước đây, phần mềm độc hại đã lẻn vào gói cài đặt là KeRanger. Bất chấp các cuộc điều tra mà họ thực hiện mỗi lần, các tin tặc vẫn xâm nhập nhiều lần. Có vẻ như họ sẽ phải cống hiến hết mình cho một thứ khác hoặc chọn thay đổi máy chủ. Hiện tại, bản sao mới đã được lưu trữ trên máy chủ Github.
Cách xóa Keynap khỏi máy Mac của chúng tôi bị nhiễm bởi Transmission
Nghiên cứu của ESET khuyến nghị tất cả người dùng đã tải xuống và cài đặt iTransmission trong khoảng thời gian từ ngày 28 đến ngày 29 tìm và xóa bất kỳ tệp hoặc thư mục nào trong số này trên máy Mac của bạn:
- /Application/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/Licens.rtf
- $ HOME / Thư viện / Hỗ trợ ứng dụng / com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME / Thư viện / Hỗ trợ ứng dụng / com.apple.iCloud.sync.daemon / process.id
- $ HOME / Library / LaunchAgents / com.apple.iCloud.sync.daemon.plist
- / Thư viện / Hỗ trợ ứng dụng / com.apple.iCloud.sync.daemon /
- $ HOME / Library / LaunchAgents / com.geticloud.icloud.photo.plist
Tiếp theo, chúng ta phải chuyển đến Trình theo dõi hoạt động và làm tê liệt bất kỳ quá trình nào liên quan đến các tệp sau:
- icloudproc
- Giấy phép.rtf
- icloudsyncd
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
Tiếp theo gỡ cài đặt ứng dụng khỏi hệ thống của chúng tôi và tải lại Transmission một lần nữa từ máy chủ Github, nơi họ đã lưu trữ nó vì nó cung cấp bảo mật cao hơn máy chủ của chính họ.
