Всего через пять месяцев после того, как Transmission был заражен первым «программным обеспечением-вымогателем» для Mac, популярный клиент BitTorrent снова оказался в центре недавно обнаруженного вредоносного ПО для OS X.
Исследователи с веб-сайта безопасности We Live Security обнаружили, что вредоносное ПО под названием OSX/Keydnap распространялось через перекомпилированную версию Transmission, временно размещенную на официальном сайте клиента.
OSX/Keydnap запускается аналогично предыдущему «программному обеспечению-вымогателю» Transmission KeRanger, добавляя вредоносный блок кода в основную функцию приложения, по словам исследователей. Аналогично, они заявили, что для подписи вредоносного приложения Transmission использовался действительный ключ подписи кода, отличный от действительного сертификата Transmission, но все же подписанный Apple и, следовательно, способный обойти Gatekeeper в OS X.
Исследователи сообщили, что уведомили команду Transmission о вредоносном ПО, и в течение нескольких минут они удалили вредоносный файл со своего веб-сервера и начали расследование. Исследователи полагают, что зараженное приложение Transmission было подписано 28 августа и распространялось только 29 августа, поэтому рекомендуют всем, кто загрузил версию 2.92 приложения в этот период, проверить, не был ли их компьютер скомпрометирован, поискав наличие следующих файлов или каталогов:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Версия Transmission 2.92 остается доступной через механизм обновления программного обеспечения.
