Installer Transmission dla OS X jest zainfekowany malwarem [uaktualnione]

07/03/2016, 08:56 · · · 6

Dnia 4 marca Palo Alto Networks wykryło, że popularny klient do BitTorrenta — Transmission dla OS X — został zainfekowany. Malware wykryli kilka godzin po pojawieniu się nowych installerów na oficjalnej stronie Transmission. KeRanger znajduje się w dwóch installerach Transmission v. 2.90.

To nie pierwszy raz ktoś zmodyfikował oryginalny kod aplikacji i udostępnił ją do pobrania, a następnie do zainstalowania. Kilka lat temu w podobny sposób zainfekowano OS X, z tą różnicą, że złośliwy kod był zaszyty w pirackiej wersji jednej z aplikacji Apple. W tym przypadku wykorzystano open-source’owy Transmission oraz prawdopodobnie włamano się na ich stronę, celem udostępnienia installerów. Co więcej, installery podpisano ważnym certyfikatem deweloperskim dla Mac, więc malware również prześlignął się obok GateKeepera – wbudowanemu mechnizmowi w OS X do ochrony przed takimi sytuacjami.

KeRanger, po zainfekowaniu OS X, czeka trzy dni na aktywację, po czym zaczyna szyfrować zawartość dysk twardego lub SSD danego komputera. Po zakończeniu tego procesu, domaga się wpłaty 1 BitCoina (około 1615 PLN), aby odszyfrować dane użytkownika. Jako, że KeRanger aktywnie kominukuje się ze swoimi twórcami, to ewoluuje i już wykryto, że stara się on zaszyfrować również backupy w Time Machine, aby użytkownicy nie mogli po prostu przywrócić swoich danych.

KeRanger został zgłoszony do Apple i Transmission 4 marca, a certyfikat, którym był podpisany już został unieważniony, co oznacza, że GateKeeper zablokuje próbę jego zainstalowania.

Jak sprawdzić czy nasz OS X jest zainfekowany?

KeRanger chowa się w w pliku General.rtf w katalogu /Applications/Transmission.app/Contents/Resources i wygląda jak zwykły plik RTF. Po uruchomieniu Transmission, General.rtf kopiowany jest do ~/Library/kernel_service, który zostaje uruchomiony jeszcze przed pojawieniem się UI Transmission. kernel_service przy pierwszym uruchomieniu tworzy uktyte pliki .kernel_pid.kernel_time.kernel_complete w katalogu ~/Library. Po wykonaniu powyższych czynności usypia się na trzy dni. Malware zbiera UUID oraz nazwę Maka, na którym jest zainstalowany i wysyła te informacje na serwery twórców.

Po zaszyfrowaniu danych na komputerze, malware wgrywa plik o nazwie README_FOR_DECRYPT.txt, w którym są informacje jak odszyfrować dane, jak wpłacić BitCoina do ich portfela oraz informacje o systemie wsparcia, gdyby ktoś miał problem.

Szyfrowane są pliki z rozszerzenami .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex, .jpg, .jpeg, .mp3, .mp4, .avi, .mpg, .wav, .flac, .zip, .rar., .tar, .gzip, .cpp, .asp, .csh, .class, .java, .lua, .db, .sql, .eml i .pem w katalogach /Volumes oraz /Users.

Aby zweryfikować czy macie zainfekowany komputer wystarczy uruchomić Terminal.app, a następnie sprawdzić czy istnieją wyżej wymienione pliki. Dodatkowo można uruchomić Monitor Aktywności i sprawdzić czy widoczny jest proces o nazwie kernel_service. Te pliki, jeśli istnieją, należy skasować.

(Nie)bezpieczny OS X

Spodziewam się, że w internetach zagrzmi teraz jak OS X jest niewłaściwie zabezpieczony. Prawda jest jednak ponownie taka, że to użytkownik musi sam sobie zainstalować KeRangera, więc jak zwykle przestrzegam przed pobieraniem pirackich aplikacji z nieznanych źródeł. Niestety, w tym wypadku złodzieje dostali się nawet do oryginalnego źródła projektu Transmission, co w połączeniu z ważnym (4 marca, dzisiaj jest już unieważniony) certyfikatem deweloperskim od Apple spowodowało, że malware ominął GateKeepera.

Ciekawy jestem jakie kroki spece od bezpieczeństwa podejmą w związku z taką nietypową sytuacją oraz kiedy ją zobaczymy.

Uaktualnienie

Zostało wydane uaktualnienie do Transmission v2.92, które zawiera narzędzie do usunięcia KeRanger.

Dla jasności: zainfekowany był tylko installer pobierany przez www. Jeśli zrobiliście uaktualnienie do v2.90, to nie macie malware.



źródłoPalo Alto Networks

6

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.