Cliente de BitTorrent Transmission foi infectado por malware de OS X
Cinco meses depois de o Transmission ser acometido por um ransomware chamado KeRanger, agora, um novo malware foi descoberto para a versão OS X do cliente de BitTorrent. De acordo com pesquisadores do site de segurança We Live Security, o OSX/Keydnap se espalhou através de uma versão recompilada do programa que esteve temporariamente disponível no site oficial.
Assim como o KeRanger, o primeiro ransomware do OS X, o novo malware adiciona um bloco de códigos maliciosos na função principal do aplicativo e tenta roubar o conteúdo da Keychain e mantém um backdoor (uma brecha na segurança) no sistema.
A versão infectada do Transmission é a 2.92, e tinha uma chave de assinatura de código legítima, embora diferente do original. No entanto, ainda era assinado pela Apple e conseguia burlar o Gatekeeper do OS X.
A assinatura foi realizada em 28 de agosto, mas os pesquisadores acreditam que o programa corrompido só foi distribuído no dia seguinte. Então, se você fez o download do Transmission entre 28 e 29 de agosto, verifique se os seguintes arquivos ou pastas estão no seu sistema:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Se algum deles estiver presente, é porque o aplicativo foi executado e o Keydnap deve estar em funcionamento. Depois de avisada pelos pesquisadores, os desenvolvedores do Transmission tiraram a versão infectada imediatamente, substituindo pela versão legítima.
Fontes: MacRumors e We Live Security