В официальной версии open source торрент-клиента Transmission 2.90 под Mac обнаружена вредоносная программа OSX.KeRanger.A. Первыми её заметили российские пользователи Mac, которые утром 5 марта подняли тревогу на форуме Transmission.
Наличие зловреда на официальном сайте Transmission подтвердили и другие. Инсталлятор подписан сторонним ключом, что может указывать на взлом сервера Transmission посторонними лицами. При этом злоумышленники использовали валидный сертификат Apple Developer, так что у Gatekeeper в OS X не было причин для показа предупреждающих сообщений. Сейчас сертификат аннулирован.
ID сертификата злоумышленников — "POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)".
6 марта специалисты по безопасности из Palo Alto Networks опубликовали технический анализ зловреда OSX.KeRanger.A, хотя им так и не удалось понять, как он попал на официальный сайт Transmission.
Сообщается, что заражение двух инсталляторов .DMG на офсайте произошло утром 4 марта примерно в 11:00 PST. Распространение заражённых файлов продолжалось до 5 марта 19:00 PST.
OSX.KeRanger.A – первый дееспособный троян-вымогатель под OS X. После установки в папке /Users//Library/kernel_service (файл General.rtf
) он ждёт трое суток, пингуя управляющий сервер через сеть Tor каждые пять минут.
Через трое суток троян начинает шифровать документы 300 определённых форматов на компьютере, по завершении процесса требует у пользователя выкуп 1 биткоин за их расшифровку. Деньги следует перечислить на адрес 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof.
Специалисты выдвигают версию, что KeRanger всё ещё находится в разработке: в коде есть неиспользуемые функции под названиями _create_tcp_socket
, _execute_cmd
и _encrypt_timemachine
. Вероятно, авторы зловреда работают над тем, что шифровать ещё и бэкап Time Machine.
Apple отозвала сертификат злоумышленников. Разработчики Transmission 5 марта удалили заражённые файлы с сервера и уже выпустили версию Transmission 2.92, которая проверяет компьютер на заражение OSX.KeRanger.A.
P.S. Образцы заражённых инсталляторов Transmission см. здесь (пароль: KeRanger).
ссылка на оригинал статьи https://habrahabr.ru/post/278723/
Добавить комментарий