Cliente de BitTorrent Transmission foi infectado por malware de OS X

Cliente de BitTorrent Transmission foi infectado por malware de OS X

Por Redação | 30 de Agosto de 2016 às 15h23

Cinco meses depois de o Transmission ser acometido por um ransomware chamado KeRanger, agora, um novo malware foi descoberto para a versão OS X do cliente de BitTorrent. De acordo com pesquisadores do site de segurança We Live Security, o OSX/Keydnap se espalhou através de uma versão recompilada do programa que esteve temporariamente disponível no site oficial.

Assim como o KeRanger, o primeiro ransomware do OS X, o novo malware adiciona um bloco de códigos maliciosos na função principal do aplicativo e tenta roubar o conteúdo da Keychain e mantém um backdoor (uma brecha na segurança) no sistema.

A versão infectada do Transmission é a 2.92, e tinha uma chave de assinatura de código legítima, embora diferente do original. No entanto, ainda era assinado pela Apple e conseguia burlar o Gatekeeper do OS X.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

A assinatura foi realizada em 28 de agosto, mas os pesquisadores acreditam que o programa corrompido só foi distribuído no dia seguinte. Então, se você fez o download do Transmission entre 28 e 29 de agosto, verifique se os seguintes arquivos ou pastas estão no seu sistema:

  • /Applications/Transmission.app/Contents/Resources/License.rtf
  • /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
  • $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
  • /Library/Application Support/com.apple.iCloud.sync.daemon/
  • $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

Se algum deles estiver presente, é porque o aplicativo foi executado e o Keydnap deve estar em funcionamento. Depois de avisada pelos pesquisadores, os desenvolvedores do Transmission tiraram a versão infectada imediatamente, substituindo pela versão legítima.

Fontes: MacRumors e We Live Security

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.

Canaltech