Transmission ancora vettore di infezione per macOS

Transmission ancora vettore di infezione per macOS

Il client BitTorrent compromesso ancora una volta per installare malware sul sistema operativo di Apple. Questa volta il malware è Keydnap, che sottrae tutte le password di sistema

di pubblicata il , alle 09:31 nel canale Sicurezza
Apple
 

Ancora una volta il client BitTorrent Transmission è diventato un vettore di distribuzione di malware tramite un installer alterato, con le versioni del software scaricate tra il 28 e il 29 agosto che sono probabilmente compromesse con il package "Keydnap". Già a marzo Transmission era stato usato come vettore di infezione per KeRanger, un ransomware che cripta il contenuto del disco e chiede un riscatto di 1 bitcoin.

Keydnap è un malware già noto nell'ambiente macOS, dopo che la società di sicurezza Eset lo aveva individuato all'inizio del mese di luglio. La precedente versione di Keydnap richiedeva agli utenti di cliccare su un file opportunamente edulcorato, che apriva l'installer nel Terminale. Il malware quindi rimandava l'installazione fino al lancio di una sccessiva app, mostrando a quel punto una finestra di dialogo con una richiesta di autenticazione.

Quando viene accorpato a Transmission, il malwre non ha bisogno di una seconda app per essere eseguito e non richiede ulteriore autenticazione da parte dell'utente oltre a quella necessaria per installare Transmission. Dal momento che Transmission è stata regolarmente firmata, Gatekeeper permette l'esecuzione del malware senza alcuna segnalazione. La firma inclusa nell'installer compromesso non appartiene però ai legittmi sviluppatori di Transmission. Apple è già stata informata e non è ancora dato sapere se al momento in cui scriviamo abbia revocato la firma.

Dopo aver ottenuto gli accessi di root, Keydnap può essere usato dai proprietari del server command and control per recuperare le chiavi di cifratura del portachiavi dell'utente e caricare quindi tutte le password in esso salvate, che possono includere le password di sistema e tutte le credenziali di accesso ai servizi web usati dall'utente. Gli sviluppatori di Transmission hanno immediatamente ritirato la versione compromessa dopo essere venuti a conoscenza del problema.

Nel caso in cui si dovesse temere di essere stati bersaglio di Keydnap, è consigliabile utilizzare strumenti di monitoraggio del traffico internet, come Little Snitch, che permettono di bloccare traffico indesiderato verso destinazioni ignote, e applicazioni come BlockBlock che monitorano costantemente l'eventuale presenza sul sistema di componenti persistenti che sono di norma funzionali ed indispensabili per l'installazione e il funzionamento dei malware.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
homero31 Agosto 2016, 10:13 #1
Bisogna stare sempre attenti alle fonti di installazione qualunque sia l'os sto ancora lottando per togliermi dns unlocker da Windows entrato da chissà quale installazione. Lo stesso per macos che comunque è più solido debian stable è ancora una roccia....
Phoenix Fire31 Agosto 2016, 10:23 #2
Originariamente inviato da: homero
Bisogna stare sempre attenti alle fonti di installazione qualunque sia l'os sto ancora lottando per togliermi dns unlocker da Windows entrato da chissà quale installazione. Lo stesso per macos che comunque è più solido debian stable è ancora una roccia....

nel precedente "hackeraggio" hanno sostituito la versione distribuita ufficialmente se non sbaglio, quindi il consiglio seppur validissimo forse non vale in questo caso
MacNavy31 Agosto 2016, 10:59 #3

x Mac

Per Mac conviene scaricare le App non disponibili in AppStore tramite MacUpdate.com o tramite il sito del produttore...

Ed una lacrima per lo scomparso VersionTracker
fiod3s31 Agosto 2016, 17:55 #4
attenzione anche a MacUpdate però, perché BitDefender ha rilevato malware distribuiti anche tramite questo popolare sito

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^