В торрент-клиенте Transmission для Mac обнаружили вирус, который крадет Apple ID и пароли к банковским счетам

Эксперты по безопасности обнаружили в дистрибутиве популярного торрент-клиента Transmission для Mac вредоносный код. По сообщению Cnews, хакеры взломали сайт разработчика и заменили безопасный файл зараженным.

Transmission - популярный торрент-клиент с открытым исходным кодом, предназначенный для Mac. Злоумышленники взломали официальный ресурс Transmission, с которого распространялась программа, и внедрили в предназначенный для загрузки официальный установочный файл вредоносный код.

Наличие вредоносного кода в дистрибутиве обнаружили специалисты Eset. Они уведомили об этом разработчиков приложения, после чего те удалили вредоносный файл и начали расследование.

В компании Eset утверждают, что в установочный файл Transmission был интегрирован троян OSX/Keydnap. Этот вредонос похищает пароли из связки ключей macOS и предоставляет злоумышленникам постоянный доступ к скомпрометированной системе.

Аналитики Eset сделали вывод, что распространение трояна происходит посредством вложений в электронных письмах и приложений, загруженных не из доверенных источников. На тот момент не было известно, что таким приложением является Transmission.

Когда в дистрибутиве Transmission появился вредоносный код, сказать точно нельзя. Последняя опубликованная версия была подписана 29 августа 2016 года. Но, по всей видимости, ее распространение началось днем позже, рассказывает Eset. Компания настоятельно рекомендует всем, кто загрузил Transmission 2.92 в период с 28 по 29 августа 2016 года, проверить систему антивирусом.

Наличие следующих файлов или директорий будет означать, что вредоносный код попал в систему:

• /Applications/Transmission.app/Contents/Resources/License.rtf
• /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
• $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
• $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
• $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
• /Library/Application, Support/com.apple.iCloud.sync.daemon/
• $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

Также в Eset рекомендовали пользователям обратить внимание на имя установочного файла: вредоносный файл распространялся под названием Transmission2.92.dmg, тогда как безопасный - Transmission-2.92.dmg.

Отметим, что в марте этого года в дистрибутиве Transmission был обнаружен вредоносный код программы-вымогателя OSX.KeRanger. Он был внедрен злоумышленниками в приложение после того, как разработчики впервые за два года выпустили обновление торрент-клиента.