Transmission usato di nuovo per diffondere malware nei Mac

Transmission

Transmission è probabilmente il software più usato nei Mac per gestire i file torrent. Siccome è così diffuso è anche il preferito degli hacker per diffondere gli attacchi mediante malware. Il progetto è open source, quindi qualcuno a volte ne approfitta per immettere copie modificate.

È accaduto tra il 28 e il 29 agosto. Se avete scaricato Transmission in questi giorni fate attenzione perché potrebbe capitare di aver installato una copia infetta. Il malware inserito nelle copie si chiama Keydnap e va a colpire la Keychain di macOS, per rubare le password e mandare ad un server remoto.

Apple è stata già informata della falla e ha bloccato le firme per lo sviluppatore, per bloccare l’installazione dell’app. Se avete già installato controllate i seguenti file:

  • /Applications/Transmission.app/Contents/Resources/License.rtf
  • /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
  • $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
  • /Library/Application Support/com.apple.iCloud.sync.daemon/
  • $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

Sarebbe opportuno anche controllare le trasmissioni in uscita mediante l’uso di software come Little Snitch e BlockBlock per verificare se c’è qualcosa di anomalo.

A marzo la stessa app fu usata per diffondere KeRanger: un ransomware capace di cifrate tutto l’hard disk dopo 3 giorni dall’installazione. Fortunatamente i danni furono evitati agendo in tempo.

Cosa ne pensi?