Зловред в официальной версии Transmission. Первый известный троян-вымогатель для Mac

в 7:03, , рубрики: KeRanger, open source, OS X, transmission, информационная безопасность, троян

В официальной версии open source торрент-клиента Transmission 2.90 под Mac обнаружена вредоносная программа OSX.KeRanger.A. Первыми её заметили российские пользователи Mac, которые утром 5 марта подняли тревогу на форуме Transmission.

Зловред в официальной версии Transmission. Первый известный троян-вымогатель для Mac - 1

Наличие зловреда на официальном сайте Transmission подтвердили и другие. Инсталлятор подписан сторонним ключом, что может указывать на взлом сервера Transmission посторонними лицами. При этом злоумышленники использовали валидный сертификат Apple Developer, так что у Gatekeeper в OS X не было причин для показа предупреждающих сообщений. Сейчас сертификат аннулирован.

ID сертификата злоумышленников — "POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)".

Зловред в официальной версии Transmission. Первый известный троян-вымогатель для Mac - 2

6 марта специалисты по безопасности из Palo Alto Networks опубликовали технический анализ зловреда OSX.KeRanger.A, хотя им не удалось понять, как он попал на официальный сайт Transmission.

Сообщается, что заражение двух инсталляторов .DMG на офсайте произошло утром 4 марта примерно в 11:00 PST. Распространение заражённых файлов продолжалось до 5 марта 19:00 PST.

OSX.KeRanger.A – первый дееспособный троян-вымогатель под OS X. После установки в папке /Users//Library/kernel_service (файл General.rtf) он ждёт трое суток, пингуя управляющий сервер через сеть Tor каждые пять минут.

Через трое суток троян начинает шифровать документы 300 определённых форматов на компьютере, по завершении процесса требует у пользователя выкуп 1 биткоин за их расшифровку. Деньги следует перечислить на адрес 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof.

Зловред в официальной версии Transmission. Первый известный троян-вымогатель для Mac - 3

Специалисты выдвигают версию, что KeRanger всё ещё находится в разработке: в коде есть неиспользуемые функции под названиями _create_tcp_socket, _execute_cmd и _encrypt_timemachine. Вероятно, авторы зловреда работают над тем, что шифровать ещё и бэкап Time Machine.

Зловред в официальной версии Transmission. Первый известный троян-вымогатель для Mac - 4

Apple отозвала сертификат злоумышленников. Разработчики Transmission 5 марта удалили заражённые файлы с сервера и уже выпустили версию Transmission 2.92, которая проверяет компьютер на заражение OSX.KeRanger.A.

P.S. Образцы заражённых инсталляторов Transmission см. зд

Автор: alizar

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js