За пореден път потребителите на торент клиента Transmission стават мишена на целенасочена атака. Специалистите на ESET засякоха заплахата, позната като OSX/Keydnap, още през месец юли. Зловредният код може да придобие информация от iCloud Keychain и да създаде задна вратичка в устройството.КАК СТАВА ЗАРАЗАТАЗаразата с OSX/Keydnap става факт след сваляне и активиране на инсталационния файл от официалния сайт на Transmission. Зловредният код е достъпен в продължение на цяло денонощие – от 28 до 29 август 2016 г., преди да бъде премахнат. Съветваме те, ако си свалил Transmission v2.92 в този период, да направиш проверка на устройството за наличие на следните файлове и директории:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Откриеш ли някой от изброените файлове или директории, то зловредното приложение е било активирано. Обърни внимание на името на коректния инсталационен файл (Transmission-2.92.dmg). При него има тире между наименованието и версията, докато в компрометирания – то липсва.За да си защитен срещу подобни атаки, използвай решение за информационна сигурност за Mac. Потребителите на ESET са защитени чрез ESET Cyber Security. Решението защитава от вируси, шпионски софтуер, фишинг и др.КАТО БЛИЗНАЦИ – ОБЩОТО ПРИ АТАКАТИЕ НА OSX/Keydnap и KeRangerОще през март 2016 г. съобщихме за атаката на първия криптовирус KeRanger за Mac OS. Заразата се осъществява отново чрез Transmission. Тактиката е идентична с тази на OSX/Keydnap. Кибер-престъпниците заменят легитимния инсталационен файл с компрометиран в сайта на торент клиента. Потребителят го сваля, без да подозира, че е заблуден. Веднъж активиран, KeRanger криптира файловете на устройството.И при двата случая компрометираните инсталационни файлове са разполагали с легитимен сертификат на производителя. Чрез тях е заобиколена функцията Apple Gatekeeper, която потвърждава изрядността на приложенията.Сходни черти са открити и в кода на зловредните кодове. Включително URL адреса на сървърите за управление и контрол (C2).НОВОТО ВЪВ РЕСИЯ 1.5 на KEYDNAPАнализите на ESET показват, че актуалната версия на зловредния код разполага със собствен TOR клиент. Това позволява връзка с C2 сървъра през TOR мрежата, без да се налага ползване на собствен Tor2Web гейтуей. Въведена е и нова команда, с която е възможна промяната на URL адресите, осъществяващи връзка с C2 сървъра.