Mastodon
Zdjęcie okładkowe wpisu Installer Transmission dla OS X jest zainfekowany malwarem [uaktualnione]

Installer Transmission dla OS X jest zainfekowany malwarem [uaktualnione]

6
Dodane: 8 lat temu

Dnia 4 marca Palo Alto Networks wykryło, że popularny klient do BitTorrenta — Transmission dla OS X — został zainfekowany. Malware wykryli kilka godzin po pojawieniu się nowych installerów na oficjalnej stronie Transmission. KeRanger znajduje się w dwóch installerach Transmission v. 2.90.

To nie pierwszy raz ktoś zmodyfikował oryginalny kod aplikacji i udostępnił ją do pobrania, a następnie do zainstalowania. Kilka lat temu w podobny sposób zainfekowano OS X, z tą różnicą, że złośliwy kod był zaszyty w pirackiej wersji jednej z aplikacji Apple. W tym przypadku wykorzystano open-source’owy Transmission oraz prawdopodobnie włamano się na ich stronę, celem udostępnienia installerów. Co więcej, installery podpisano ważnym certyfikatem deweloperskim dla Mac, więc malware również prześlignął się obok GateKeepera – wbudowanemu mechnizmowi w OS X do ochrony przed takimi sytuacjami.

KeRanger, po zainfekowaniu OS X, czeka trzy dni na aktywację, po czym zaczyna szyfrować zawartość dysk twardego lub SSD danego komputera. Po zakończeniu tego procesu, domaga się wpłaty 1 BitCoina (około 1615 PLN), aby odszyfrować dane użytkownika. Jako, że KeRanger aktywnie kominukuje się ze swoimi twórcami, to ewoluuje i już wykryto, że stara się on zaszyfrować również backupy w Time Machine, aby użytkownicy nie mogli po prostu przywrócić swoich danych.

KeRanger został zgłoszony do Apple i Transmission 4 marca, a certyfikat, którym był podpisany już został unieważniony, co oznacza, że GateKeeper zablokuje próbę jego zainstalowania.

Jak sprawdzić czy nasz OS X jest zainfekowany?

KeRanger chowa się w w pliku General.rtf w katalogu /Applications/Transmission.app/Contents/Resources i wygląda jak zwykły plik RTF. Po uruchomieniu Transmission, General.rtf kopiowany jest do ~/Library/kernel_service, który zostaje uruchomiony jeszcze przed pojawieniem się UI Transmission. kernel_service przy pierwszym uruchomieniu tworzy uktyte pliki .kernel_pid.kernel_time.kernel_complete w katalogu ~/Library. Po wykonaniu powyższych czynności usypia się na trzy dni. Malware zbiera UUID oraz nazwę Maka, na którym jest zainstalowany i wysyła te informacje na serwery twórców.

Po zaszyfrowaniu danych na komputerze, malware wgrywa plik o nazwie README_FOR_DECRYPT.txt, w którym są informacje jak odszyfrować dane, jak wpłacić BitCoina do ich portfela oraz informacje o systemie wsparcia, gdyby ktoś miał problem.

Szyfrowane są pliki z rozszerzenami .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex, .jpg, .jpeg, .mp3, .mp4, .avi, .mpg, .wav, .flac, .zip, .rar., .tar, .gzip, .cpp, .asp, .csh, .class, .java, .lua, .db, .sql, .eml i .pem w katalogach /Volumes oraz /Users.

Aby zweryfikować czy macie zainfekowany komputer wystarczy uruchomić Terminal.app, a następnie sprawdzić czy istnieją wyżej wymienione pliki. Dodatkowo można uruchomić Monitor Aktywności i sprawdzić czy widoczny jest proces o nazwie kernel_service. Te pliki, jeśli istnieją, należy skasować.

(Nie)bezpieczny OS X

Spodziewam się, że w internetach zagrzmi teraz jak OS X jest niewłaściwie zabezpieczony. Prawda jest jednak ponownie taka, że to użytkownik musi sam sobie zainstalować KeRangera, więc jak zwykle przestrzegam przed pobieraniem pirackich aplikacji z nieznanych źródeł. Niestety, w tym wypadku złodzieje dostali się nawet do oryginalnego źródła projektu Transmission, co w połączeniu z ważnym (4 marca, dzisiaj jest już unieważniony) certyfikatem deweloperskim od Apple spowodowało, że malware ominął GateKeepera.

Ciekawy jestem jakie kroki spece od bezpieczeństwa podejmą w związku z taką nietypową sytuacją oraz kiedy ją zobaczymy.

Uaktualnienie

Zostało wydane uaktualnienie do Transmission v2.92, które zawiera narzędzie do usunięcia KeRanger.

Dla jasności: zainfekowany był tylko installer pobierany przez www. Jeśli zrobiliście uaktualnienie do v2.90, to nie macie malware.

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .

Komentarze: 6

Little Snitch? On ostrzeże Cię, że jakiś program chce coś gdzieś wysłać. Dość optymistycznie zakładasz, że od razu zauważysz coś dziwnego – przecież Transmission to program, który z definicji łączy się z całą masą różnych adresów i coś im tam wysyła. Poza tym, ten malware szyfruje pliki na dysku i żąda zapłaty za ich odszyfrowanie, a do samego zaszyfrowania pewnie nie potrzebuje się z nikim łączyć…

Chodziło mi o wykrycie podejrzanego połączenia od razu po uruchomieniu aplikacji.

Jednak masz rację, jak już się połączy to będzie pewnie za późno…
Pozostaje jedynie zablokowanie write access do dysków z backupami.

Nie słyszałem o tym Transmission wcześniej. Z tekstu wnioskuję, że jest darmowy. A potem autor pisze, że użytkownik sam sobie pobiera KeRanger (zawartego w darmowym Transmission) i dalej przestrzega przed pobieraniem z pirackich źródeł. To co tu jest tym pirackim źrodłem? Przecież nie Transmission

Przeczytaj uważniej. Przestrzegam ogólnie o pobieraniu softu z pirackich niezweryfikowanych źródeł, w tym Transmission. Bezpieczniej go pobrać z ich strony niż z Torrentów, pomimo że jest darmowy. W tym wypadku akurat włamali się na ich stronę, ale statystycznie i tak jest to bezpieczniejsze.

Oczywiście, że ze strony. Wszystko jest lepiej czerpać ze źrodła, w tym i aplikacje. Tym bardziej, że potrzebny jest klient BitTorrent (np Transmission), żeby w ogóle pobierać coś przez torrenty. No ale mniejsza o to, bo i tak nie korzystam z tego. Aczkolwiek może faktycznie nie warto pobierać wszystkich aktualizacji w ciemno.