Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

Malware sprider sig via modifierad överföringsapplikation (igen)

Skadlig programvara sprids genom modifierad överföringsapplikation (igen)

Keydnap skadlig programvara

För bara 5 månader sedan gjorde BitTorrent-klienten Transmission rubriker som leveransfordon för den första Mac-ransomware. Nu är strålkastaren tillbaka på Transmission, men den här gången befanns den vara infekterad med OSX / Keydnap-skadlig kod. OSX / Keydnap, utformat för att stjäla innehållet i din OS X-nyckelring och hålla en bakdörr till din Mac, upptäcks av Intego VirusBarrier.

Forskare beskrev vid WeLiveSecurity att det verkar som om överföringsapplikationen modifierades genom att lägga till ett block med skadlig kod i huvudfunktionen – liknande hur ransomware KeRanger lades till. Applikationen kompilerades sedan om och gjordes tillgänglig för nedladdning via den legitima nedladdningssidan på överföringswebbplatsen.

En närmare titt på de infekterade applikationerna visar att den signerades digitalt med en legitim kodsigneringsnyckel, vilket får den att kringgå Gatekeeper helt och öppnas därmed utan problem på din Mac.
kodsignal
Som framgår av skärmdumpen undertecknades ansökan den 28 augusti 2016 och tros distribueras dagen därpå. Forskarna meddelade överföringsteamet och inom några minuter togs den skadliga filen bort från deras webbserver. Det betyder att alla som har laddat ner överföringen från sin webbplats den 28 eller 29 augusti kan fånga den infekterade versionen.

Om du har laddat ner applikationen från deras webbplats de senaste dagarna rekommenderar vi att du letar efter följande filer:

  • /Applications/Transmission.app/Contents/Resources/License.rtf
  • /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
  • $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / icloudsyncd
  • $ HOME / Library / Application Support / com.apple.iCloud.sync.daemon / process.id
  • $ HOME / Library / LaunchAgents / com.apple.iCloud.sync.daemon.plist
  • / Bibliotek / Application Support / com.apple.iCloud.sync.daemon /
  • $ HEM / Bibliotek / LaunchAgents / com.geticloud.icloud.photo.plist
  • $ HOME / Library / Application Support / com.geticloud / icloudproc
  • $ HOME / intego / Library / Application Support / com.geticloud /

Filen “/Volumes/Transmission….License.rtf” kan ignoreras eftersom det indikerar applikationen i den nedladdade .dmg-filen (som du bör ta bort omedelbart om den fortfarande finns i mappen Nedladdningar) när den är monterad.

Dessa filer är en indikation på att din Mac har smittats med Keydnap-skadlig programvara och bör tas bort. Intego VirusBarrier upptäcker de skadliga filerna som OSX / Keydnap.

För den uppmärksamma Mac-användaren fanns det två indikatorer, något kan ha varit fel med nedladdningen, även om en lätt förbises och den andra sällan testas.
TransmissionDLpage

  1. Den nedladdade filen hade namnet “Transmission2.92.dmg” medan nedladdningssidan nämner “Transmission-2.92.dmg” (inklusive bindestrecket) som rätt filnamn.
  2. Nedladdningssidan visar en SHA256-hash för filen, detta är ett sätt för slutanvändaren att bekräfta att den nedladdade filen faktiskt är den fil de ska få. SHA256-hash för .dmg-filen enligt webbplatsen är “926a878cac007e591cfcea987048abc0689d77e7729a28255b9ea7b73f22d693” men när .dmg med den infekterade applikationen är markerad kommer SHA256 ut som “feafe385e23c3a66 Användaren behöver inte ens jämföra alla 64 tecken, om bara 1 är avstängd betyder det att filen inte är som tänkt.

Bortsett från dessa två indikatorer fanns det inget annat att visa att något kan vara fel för slutanvändaren. Applikationen fungerar som förväntat.

Djävulen är ofta i detaljerna och medan ett enkelt bindestreck lätt förbises, bör SHA-sammandraget (säkerhetskontrollsumma för en datafil) alltid kontrolleras. Olika webbplatser använder olika SHA-uppslutningar, så sätten att kontrollera dem varierar något. Till exempel listar Apple SHA-1-sammandrag på sin webbplats med några nedladdningar medan Transmission listar SHA-256 istället.

Kontrollsumma

SHA-256 kontrollsumma av den infekterade .dmg-filen för överföring

Med hjälp av den infekterade Transmission .dmg-filen för att verifiera kontrollsumman öppnar du Terminal-applikationen och skriver in lämpligt kommando:

  • För SHA-1: openssl sha1 [full path to file]
  • För SHA-256: openssl dgst -sha256 [full path to file]
  • För MD5: md5 [full path to file]

I stället för att skriva hela sökvägen kan du dra filen till terminalfönstret efter att ha skrivit ett av ovanstående kommandon. Klicka på retur när du är klar och Terminal visar dig smältningen. MD5 används inte så ofta längre men som du kanske fortfarande ser det i naturen är det bra att veta hur man verifierar dessa kontrollsummor.

Redaktörens uppdatering, 31 augusti:

Vid den ursprungliga tidpunkten för att skriva den här artikeln var överföringswebbplatsen offline. Detta visar sig ha varit avsiktligt. I ett uttalande från sändningsteamet:

Det verkar som om den 28 augusti 2016 fick obehörig åtkomst till vår webbplatsserver. Den officiella Mac-versionen av Transmission 2.92 ersattes med en obehörig version som innehöll skadlig programvara OSX / Keydnap. Den infekterade filen var tillgänglig för nedladdning någonstans mellan några timmar och mindre än en dag.

För att förhindra framtida incidenter har vi migrerat webbplatsen och alla binära filer från våra nuvarande servrar till GitHub. Andra tjänster, som för närvarande inte är tillgängliga, kommer att migreras till nya servrar de närmaste dagarna. Som en extra försiktighetsåtgärd kommer vi att vara värd för binärfilerna och webbplatsen (inklusive kontrollsummor) i två separata förvar.

Intego kommer att uppdatera den här historien när ny information blir tillgänglig.

Om Mike Jones

Mike Jones är en IT-konsult med en passion för Mac-säkerhetsforskning. Han genomför oberoende skydd mot skadlig programvara och skriver också om integritets- och säkerhetsrelaterade frågor på sin blogg Security Spread. Följ honom på Twitter på @SecuritySpread. Visa alla inlägg av Mike Jones → Detta inlägg postades i Malware, rekommenderas, säkerhetsnyheter och taggade Keydnap, malware, OSX / Keydnap, Transmission. Bokmärk permalänken.