Parece que los desarrolladores de Transmission son el objetivo de los hackers, ya que no es la primera vez que a través de este software para descargar archivos se cuela algún que otro malware en los Mac donde se encuentra instalado. En esta ocasión, la distribución de malware se ha realizado a través de las descargas de esta aplicación entre los días 28 y 29 de agosto. Este paquete de instalación tenía en su interior el malware Keydnap. La versión anterior de este malware requería que los usuarios hicieran click en un archivo malicioso, que automáticamente abría la Terminal. Entonces el malware esperaba a que la aplicación fuera ejecutada y nos mostraba una ventana en la que nos pedía autenticación.
Pero en esta nueva versión, este malware no requiere de una segunda aplicación para ejecutarse ni que el usuario se autentifique, simplemente se instala de forma conjunta con Transmission. Desde que la aplicación fue firmada por Apple, Gatekeeper permite la ejecución de esta aplicación sin comprobar en ningún momento si lleva malware incluido o no.
Una vez instalado y ha tenido control sobre nuestro Mac, esta nueva actualización del malware Keydnap, puede utilizarse para poder tener acceso al llavero donde almacenamos todas las contraseñas asociadas a páginas web, incluyendo lógicamente las de acceso a nuestras cuentas de los bancos. Pero no se limita a tener acceso sino que rápidamente descarga el fichero en los servidores que han desarrollado este malware.
La firma que se encuentra en el paquete instalador de Transmission lógicamente no es la que pertenece a los legítimos desarrolladores, Apple ha sido informado para revoque el acceso a de esta firma ya que no es la que la que pertenece a los desarrolladores. Rápidamente los desarrolladores han procedido a eliminar la copia infectada de sus servidores tan pronto han sido notificados de este problema.
Parece que la seguridad de los servidores de la compañía siempre tienen la puerta abierta, porque ya es la segunda vez que los hacker se cuelan en ellos y cambiar el archivo de descarga original por una copia con malware incluido. Anteriormente el malware que se coló en el paquete de instalación fue KeRanger. A pesar de las investigaciones que realizan cada vez, los hackers entran una y otra vez. Parece que van a tener que dedicarse a otra cosa u optar por cambiar de servidores. De momento la nueva copia ya está almacenada en los servidores de Github.
Cómo eliminar Keynap de nuestro Mac infectado por Transmission
ESET Research recomienda que todos los usuarios que han descargado e instalado iTransmission entre los días 28 y 29 busquen y borren en sus Mac cualquiera de estos archivos o directorios:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
A continuación debemos dirigirnos hasta el Monitor de actividad y paralizar cualquier proceso relacionado con los siguientes archivos:
- icloudproc
- License.rtf
- icloudsyncd
- /usr/libexec/icloudsyncd -launchd netlogon.bundle
A continuación desinstalar la aplicación de nuestro sistema y volver a descargar Transmision nuevamente desde los servidores de Github, donde lo han alojado debido a que ofrece mayor seguridad que sus propios servidores.
El artículo Transmission es nuevamente la fuente del malware Keydnap que afecta a los Mac. Os mostramos cómo eliminarlo ha sido originalmente publicado en Soy de Mac.
