Cliente de BitTorrent Transmission foi infectado por malware de OS X

Cinco meses depois de o Transmission ser acometido por um ransomware chamado KeRanger, agora, um novo malware foi descoberto para a versão OS X do cliente de BitTorrent. De acordo com pesquisadores do site de segurança We Live Security, o OSX/Keydnap se espalhou através de uma versão recompilada do programa que esteve temporariamente disponível no site oficial.

Assim como o KeRanger, o primeiro ransomware do OS X, o novo malware adiciona um bloco de códigos maliciosos na função principal do aplicativo e tenta roubar o conteúdo da Keychain e mantém um backdoor (uma brecha na segurança) no sistema.

A versão infectada do Transmission é a 2.92, e tinha uma chave de assinatura de código legítima, embora diferente do original. No entanto, ainda era assinado pela Apple e conseguia burlar o Gatekeeper do OS X.

A assinatura foi realizada em 28 de agosto, mas os pesquisadores acreditam que o programa corrompido só foi distribuído no dia seguinte. Então, se você fez o download do Transmission entre 28 e 29 de agosto, verifique se os seguintes arquivos ou pastas estão no seu sistema:

• /Applications/Transmission.app/Contents/Resources/License.rtf
• /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
• $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
• $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
• $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
• /Library/Application Support/com.apple.iCloud.sync.daemon/
• $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

Se algum deles estiver presente, é porque o aplicativo foi executado e o Keydnap deve estar em funcionamento. Depois de avisada pelos pesquisadores, os desenvolvedores do Transmission tiraram a versão infectada imediatamente, substituindo pela versão legítima.

Fontes: MacRumors e We Live Security