Menú principal

lunes, 5 de septiembre de 2016

OSX/Keydnap nuevo malware distribuido con el cliente Transmission

Ha vuelto a ocurrir, el cliente de torrent para OS X Transmission ha vuelto a ser el causante de distribución de malware a través de un instalador manipulado. Los días 28 y 29 de agosto se llevó a cabo toda la trama y el paquete e instalador de Transmission fue infectado con un malware para OS X denominado Keydnap. Hay que recordar que Transmission ya fue golpeado con KeRanger. La versión anterior de OSX/Keydnap requería que los usuarios hicieran clic en un archivo, el cual ejecutaba una terminal del sistema operativo desde la que se lanzaba el instalador definitivo.

Al incluir a Keydnap con el instalador de Transmission, el malware se ejecuta sin la necesidad de ser ejecutado por el usuario, ni se requiere autenticación adicional, más allá de la necesaria para instalar Transmission. Además, como el cliente torrent está firmada correctamente, Gatekeeper permite la ejecución de la instalación del software malicioso sin queja. Después de otorgar acceso a la raíz, Keydnap puede ser utilizado a través del C&C, realizando cualquier acción sobre el sistema, como por ejemplo la captura de la clave de descifrado del llavero del usuario y subir las contraseñas almacenadas. 

Figura 1: Keydnap en Transmission

La firma incluida en el instalador de Transmission no pertenece a los desarrolladores legítimos. Apple ha informado acerca de dicha firma, y se desconoce si ha sido revocada en estos momentos. Los desarrolladores de Transmission publicaron inmediatamente de conocer la notiica una nueva versión para todos los usuarios. Si eres uno de los usuarios que instalaron Transmission entre el 28 y 29 de agosto debes mirar estos directorios y archivos:
  • /Applications/Transmission.app/Contents/Resources/License.rtf
  • /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
  • $HOME/Library/LaunchAgents/com.apple.iCloud.syn.daemon.plist
  • /Library/Application Support/com.apple.iCloud.sync.daemon
  • $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Por supuesto, si has instalado Transmission en el rango de ese par de días, desinstala y busca el malwware en tu equipo, ya que puedes estar infectado.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares