Allerta Transmission per macOS: installer infettato dal malware Keydnap
Transmission veicolo di trasmissione di ransomware su macOS parte due. Si, avete letto bene, il famoso client multipiattaforma è stato nuovamente compromesso o meglio, come la scorsa volta, è stato compromesso il sito internet ufficiale.
Stando a quanto scoperto dai ricercatori del sito We Live Security il malware OSX/Keydnap è stato diffuso sui sistemi operativi Apple attraverso una versione ricompilata di Transmission presente sul sito internet ufficiale del client. Stando ai ricercatori la versione compromessa di Transmission per macOS è stata firmata il 28 Agosto 2016 ed è stata distribuita online nella giornata del 29 Agosto 2016 per esser poi prontamente rimossa grazie alla segnalazione di ESET che ha allertato i developer di Transmission.
Il consiglio per tutti gli utenti che hanno scaricato Transmission per macOS fra il 28 e il 29 Agosto di verificare se il proprio sistema sia stato compromesso verificando la presenza di uno dei seguenti file o directory nel proprio sistema:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Se una di questi file e director è presente sul vostro sistema significa che la versione infetta di Transmission è stata eseguita e il malware Keydnap è probabilmente in esecuzione.
Da notare come l’installer della versione compromessa del programma è rinominato Transmission2.92.dmg mentre la versione legittima si chiama Transmission-2.92.dmg (con il trattino fra Transmission e il numero di versione).
Gli utenti infetti possono ripulire il sistema seguendo le istruzioni riportate all’indirizzo https://transmissionbt.com/keydnap_removal/
Vista la nuova violazione del sito il team di Transmission, per prevenire futuri incidenti, ha deciso di migrare i binari su GitHub.