- PVSM.RU - https://www.pvsm.ru -
В официальной версии open source торрент-клиента Transmission 2.90 под Mac обнаружена вредоносная программа OSX.KeRanger.A [1]. Первыми её заметили российские пользователи Mac, которые утром 5 марта подняли тревогу [2] на форуме Transmission.
Наличие зловреда на официальном сайте Transmission подтвердили и другие. Инсталлятор подписан сторонним ключом, что может указывать на взлом сервера Transmission посторонними лицами. При этом злоумышленники использовали валидный сертификат Apple Developer, так что у Gatekeeper в OS X не было причин для показа предупреждающих сообщений. Сейчас сертификат аннулирован.
ID сертификата злоумышленников — "POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)".
6 марта специалисты по безопасности из Palo Alto Networks опубликовали технический анализ [3] зловреда OSX.KeRanger.A, хотя им не удалось понять, как он попал на официальный сайт Transmission.
Сообщается, что заражение двух инсталляторов .DMG на офсайте произошло утром 4 марта примерно в 11:00 PST. Распространение заражённых файлов продолжалось до 5 марта 19:00 PST.
OSX.KeRanger.A – первый дееспособный троян-вымогатель под OS X. После установки в папке /Users//Library/kernel_service (файл General.rtf
) он ждёт трое суток, пингуя управляющий сервер через сеть Tor каждые пять минут.
Через трое суток троян начинает шифровать документы 300 определённых форматов на компьютере, по завершении процесса требует у пользователя выкуп 1 биткоин за их расшифровку. Деньги следует перечислить на адрес 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof.
Специалисты выдвигают версию, что KeRanger всё ещё находится в разработке: в коде есть неиспользуемые функции под названиями _create_tcp_socket
, _execute_cmd
и _encrypt_timemachine
. Вероятно, авторы зловреда работают над тем, что шифровать ещё и бэкап Time Machine.
Apple отозвала сертификат злоумышленников. Разработчики Transmission 5 марта удалили заражённые файлы с сервера и уже выпустили версию Transmission 2.92 [4], которая проверяет компьютер на заражение OSX.KeRanger.A.
P.S. Образцы заражённых инсталляторов Transmission см. зд [5]
Автор: alizar
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/114266
Ссылки в тексте:
[1] OSX.KeRanger.A: https://www.virustotal.com/en/file/d1ac55a4e610380f0ab239fcc1c5f5a42722e8ee1554cba8074bbae4a5f6dbe1/analysis/
[2] подняли тревогу: https://forum.transmissionbt.com/viewtopic.php?f=4&t=17834
[3] технический анализ: http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
[4] Transmission 2.92: https://www.transmissionbt.com/download/
[5] зд: https://paloaltonetworks.app.box.com/KeRangerSamples
[6] Источник: https://geektimes.ru/post/272214/
Нажмите здесь для печати.