Au trecut aproximativ cinci luni de când s-a descoperit primul „ransomware” pe Mac în aplicația Transmission, iar acum popularul client BitTorrent este în centrul atenției cu o altă vulnerabilitate care permite distribuirea de software otrăvit pe Mac.
Descoperit recent de către cercetătorii site-ului de securitate We Live Security, noul virus poartă denumirea de OSX/Keydnap și este împrăștiat în macOS prin intermediul unei versiuni recompilată a Transmission, care a fost distribuită temporar pe pagina web oficială a aplicației.
OSX/Keydnap se execută singur într-o manieră similară cu ransomware-ul din versiunea anterioară de Transmission, KeRanger, adăugând cod de blocare rău în funcția principală a aplicației, potrivit cercetătorilor. Aceștia au mai adăugat că versiunea otrăvită de Transmission era certificată folosind o cheie de semnare a codului legitimă, aceasta fiind diferită de cea folosită în adevărata aplicație Transmission, dar în continuare recunoscută de Apple și, astfel, capabilă să treacă de măsurile de securitate ale sistemului Gatekeeper din OS X/macOS.
Cercetătorii au afirmat că au notificat echipa Transmission cu privire la existența software-ului otrăvit în aplicația lor și că aceștia au eliminat fișierul otrăvit de pe serverul lor în doar câteva minute. Ei consideră că versiunea otrăvită de Transmission a fost semnată pe 28 august și distribuită doar pe 29 august, recomandând astfel tuturor celor care au descărcat versiunea 2.92 în acest scurt interval de timp să verifice dacă sistemul lor este compromis.
Conform cercetătorilor, un Mac este compromis de versiunea otrăvită a Transmission dacă are unul dintre următoarele fișiere sau directoare:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Dacă ai unul dintre aceste directoare, este recomandat să îl elimini de îndată. Iar dacă nu ai, este recomandat să ștergi aplicația Transmission de pe Mac-ul tău și să cauți o alternativă pentru că, aparent, ea reușește admirabila contraperformanță de a distribui în OS X/macOS viruși.