傳輸的開發人員似乎是黑客的目標,因為這不是第一次通過此軟件下載文件 其他一些惡意軟件潛入安裝了Mac的Mac。 在這種情況下,該惡意軟件是在28月29日至XNUMX日之間通過下載該應用程序分發的。 此安裝包中包含Keydnap惡意軟件。 此惡意軟件的先前版本要求用戶單擊惡意文件,該文件會自動打開終端。 然後,惡意軟件等待應用程序執行,並向我們顯示了一個窗口,要求進行身份驗證。
但是在此新版本中,該惡意軟件不需要運行第二個應用程序或用戶進行身份驗證,只需 與變速箱一起安裝。 由於該應用程序是由Apple簽名的,因此Gatekeeper允許該應用程序的執行,而無需隨時檢查其是否包含惡意軟件。
安裝並控制了我們的Mac之後,此新的Keydnap惡意軟件更新可以 用於訪問存儲所有密碼的鑰匙串 與網頁相關聯,在邏輯上包括用於訪問我們的銀行帳戶的網頁。 但是它並不局限於具有訪問權限,它可以將文件快速下載到開發了該惡意軟件的服務器上。
從邏輯上在Transmission安裝程序包中找到的簽名 它不是屬於合法開發商的人,蘋果已被告知撤回與這家公司的聯繫,因為它不屬於開發商。 一旦收到有關此問題的通知,開發人員便迅速著手從服務器中刪除受感染的副本。
看來公司服務器的安全性永遠是敞開的, 因為這是黑客第二次潛入其中並更改了原始下載文件,以獲取包含惡意軟件的副本。 以前,潛入安裝包的惡意軟件是KeRanger。 儘管他們每次都進行調查,但黑客卻一次又一次地進入。 看來他們將不得不獻身於其他東西或選擇更換服務器。 目前,新副本已存儲在Github服務器上。
如何從感染了Mac的Mac中刪除Keynap
ESET Research建議所有在28日至29日之間下載並安裝了iTransmission的用戶 查找和刪除Mac上的任何這些文件或目錄:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $ HOME /庫/應用程序支持/ com.apple.iCloud.sync.daemon / icloudsyncd
- $ HOME /庫/應用程序支持/ com.apple.iCloud.sync.daemon / process.id
- $ HOME /庫/ LaunchAgents / com.apple.iCloud.sync.daemon.plist
- /庫/應用程序支持/ com.apple.iCloud.sync.daemon /
- $ HOME /圖書館/ LaunchAgents / com.geticloud.icloud.photo.plist
接下來,我們必須轉到活動監視器, 麻痺與以下文件有關的所有過程:
- 雲進程
- 許可證
- 云同步
- / usr / libexec / icloudsyncd -launchd netlogon.bundle
然後 從我們的系統上卸載應用程序 並從託管它們的Github服務器再次下載傳輸,因為它提供了比其自己的服務器更高的安全性。
