1 settembre 2016

Allerta Transmission per macOS: installer infettato dal malware Keydnap



Transmission veicolo di trasmissione di ransomware su macOS parte due. Si, avete letto bene, il famoso client multipiattaforma è stato nuovamente compromesso o meglio, come la scorsa volta, è stato compromesso il sito internet ufficiale.

Stando a quanto scoperto dai ricercatori del sito We Live Security il malware OSX/Keydnap è stato diffuso sui sistemi operativi Apple attraverso una versione ricompilata di Transmission presente sul sito internet ufficiale del client. Stando ai ricercatori la versione compromessa di Transmission per macOS è stata firmata il 28 Agosto 2016 ed è stata distribuita online nella giornata del 29 Agosto 2016 per esser poi prontamente rimossa grazie alla segnalazione di ESET che ha allertato i developer di Transmission.

Il consiglio per tutti gli utenti che hanno scaricato Transmission per macOS fra il 28 e il 29 Agosto di verificare se il proprio sistema sia stato compromesso verificando la presenza di uno dei seguenti file o directory nel proprio sistema:

  • /Applications/Transmission.app/Contents/Resources/License.rtf
  • /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
  • $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
  • /Library/Application Support/com.apple.iCloud.sync.daemon/
  • $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

Se una di questi file e director è presente sul vostro sistema significa che la versione infetta di Transmission è stata eseguita e il malware Keydnap è probabilmente in esecuzione.
Da notare come l'installer della versione compromessa del programma è rinominato Transmission2.92.dmg mentre la versione legittima si chiama Transmission-2.92.dmg (con il trattino fra Transmission e il numero di versione).

Gli utenti infetti possono ripulire il sistema seguendo le istruzioni riportate all'indirizzo https://transmissionbt.com/keydnap_removal/

Vista la nuova violazione del sito il team di Transmission, per prevenire futuri incidenti, ha deciso di migrare i binari su GitHub.

Nessun commento:

Posta un commento

Licenza
Licenza Creative Commons

Quest' opera è distribuita con licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 3.0 Unported. Questo blog non rappresenta una testata giornalistica, in quanto viene aggiornato senza alcuna periodicità. Non può, pertanto, considerarsi un prodotto editoriale, ai sensi della legge n. 62 del 7/03/2001

Disclaimer immagini

Le immagini utilizzate in questo blog appartengono ai loro rispettivi autori e sono utilizzati per scopi educativi, personali e senza scopo di lucro. Ogni eventuale violazione del copyright non è intenzionale, ma se si riconosce un'immagine protetta da copyright, fatemelo sapere qui, e sarò lieto di aggiungere i credits o modificarla o rimuoverla.

Disclaimer images

Images used on this blog belong to their respective authors and are used for educational, personal and no profit purposes. Any eventual copyright infringement is not intentional, but if you recognize a copyrighted image, please let me know here, and I'll happily provide to add the right credits or modify or remove it.