Ha vuelto a ocurrir, el cliente de torrent para OS X Transmission ha vuelto a ser el causante de distribución de malware a través de un instalador manipulado. Los días 28 y 29 de agosto se llevó a cabo toda la trama y el paquete e instalador de Transmission fue infectado con un malware para OS X denominado Keydnap. Hay que recordar que Transmission ya fue golpeado con KeRanger. La versión anterior de OSX/Keydnap requería que los usuarios hicieran clic en un archivo, el cual ejecutaba una terminal del sistema operativo desde la que se lanzaba el instalador definitivo.
Al incluir a Keydnap con el instalador de Transmission, el malware se ejecuta sin la necesidad de ser ejecutado por el usuario, ni se requiere autenticación adicional, más allá de la necesaria para instalar Transmission. Además, como el cliente torrent está firmada correctamente, Gatekeeper permite la ejecución de la instalación del software malicioso sin queja. Después de otorgar acceso a la raíz, Keydnap puede ser utilizado a través del C&C, realizando cualquier acción sobre el sistema, como por ejemplo la captura de la clave de descifrado del llavero del usuario y subir las contraseñas almacenadas.
La firma incluida en el instalador de Transmission no pertenece a los desarrolladores legítimos. Apple ha informado acerca de dicha firma, y se desconoce si ha sido revocada en estos momentos. Los desarrolladores de Transmission publicaron inmediatamente de conocer la notiica una nueva versión para todos los usuarios. Si eres uno de los usuarios que instalaron Transmission entre el 28 y 29 de agosto debes mirar estos directorios y archivos:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.syn.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
No hay comentarios:
Publicar un comentario