Officiële Mac-app Transmission besmet met ransomware
Onderzoekers hebben in het officiële installatieprogramma van de Mac-app Transmission ransomware aangetroffen, die bestanden voor losgeld versleutelt. De app werd niet binnen de Mac App Store aangeboden, maar kon via de officiële website van Transmission worden gedownload en was gesigneerd met een geldig ontwikkelaarscertificaat van Apple. Transmission is een populair BitTorrentprogramma.
Op 4 maart slaagden aanvallers erin om twee installatieversies van Transmission 2.90 met de KeRanger-ransomware te infecteren en deze op de officiële website te krijgen, zo meldt beveiligingsbedrijf Palo Alto Networks. Hoe de aanvallers toegang tot de website wisten te krijgen is onbekend. Doordat KeRanger met een geldig ontwikkelaarscertificaat was gesigneerd kon het de Gatekeeper-beveiliging van Mac OS X omzeilen.
De besmette versie blijkt na de installatie drie dagen te wachten voordat er via het Tor-netwerk met de ransomware-servers verbinding wordt gemaakt. Vervolgens versleutelt de ransomware verschillende soorten bestanden en toont het slachtoffer een melding dat er 1 bitcoin voor het ontsleutelen moet worden betaald. Met de huidige wisselkoers komt dat neer op 370 euro.
Apple heeft inmiddels het ontwikkelaarscertificaat ingetrokken en XProtect, de ingebouwde virusverwijdertool in Mac OS X, geüpdatet, zodat de ransomware wordt herkend. De ontwikkelaars van Transmission hebben de besmette versie van de website verwijderd en twee nieuwe versies uitgebracht. Via een grote waarschuwing op de website wordt gebruikers aangeraden om versie 2.92 te installeren, die de ransomware verwijdert. Ook gebruikers die versie 2.91 installeerden moeten naar deze versie upgraden. Hoewel versie 2.91 niet geïnfecteerd is geweest, verwijdert die niet de ransomware. Volgens VirusTotal wordt de ransomware op dit alleen moment door Trend Micro gedetecteerd.
Update
De ransomware blijkt na een herstart van de computer niet meer te werken, totdat de besmette Transmission-app weer wordt gestart. Daarnaast hebben gebruikers die besmette Transmission-versie installeerden nog enkele uren voordat de ransomware tot het versleutelen van bestanden overgaat. Zie ook dit artikel.
Op 4 maart slaagden aanvallers erin om twee installatieversies van Transmission 2.90 met de KeRanger-ransomware te infecteren en deze op de officiële website te krijgen, zo meldt beveiligingsbedrijf Palo Alto Networks
En die website is gemaakt met? ... PHP 5.4.45
PHP 5.4. Dat zegt wel wat over de prio van security.
Niet bepaald fraai dit.
assumptions...versie nummers...
helemaal NIETS met elkaar te maken hebben?
Ik zat pas toevallig over Transmission te lezen op Tweakers.
De review begon zo..
De discussie eronder was wel direct interessant, want inderdaad een interval in je update support van bijna 2 jaar?
Waren er in de tussentijd dan nooit relevante kwetsbaarheden te patchen?
Nou hing het wel een beetje in de lucht, ook hier op forum werd daar in een aparte waarschuwing op gewezen overigens.
Mac OSX Ransomware "GinX" ?
01-03-2016, 22:17
https://www.security.nl/posting/462996/Mac+OSX+Ransomware+%22GinX%22+%3F
Want sinds begin februari schijnt het dat Ransomware as a service (RaaS) voor Mac OS X al werd aangeboden op 'ondergrondse fora'.
Interessant zal het worden om te zien of de huidige 'maker' van de geïnfecteerde Transmission app eigenlijk gebruik heeft gemaakt van de Ransomware dienst door componenten daarvan te implementeren in de Transmission app.
De aangeboden 2.90 versie had ik vorige week niet gedownload (wat moest ik er sowieso mee?) maar nu wel, bij een van de bekende software portals waar je je software nou juist niet vandaan moet halen (ook al heb je 100% safe garantie als je ze mag geloven) nog een exemplaar gevonden.
Misschien eens loslaten op een testsysteempje om te kijken of er nog nuttige security maatregelen van kunnen worden afgeleid.
Maar ik ben bang van niet, een app in het algemeen en een dergelijke app in het bijzonder leent zich natuurlijk perfect (ivm poorten en verbindingen circus) voor dit soort gare onzin .
Ik ben benieuwd naar wat voor informatie hier verder nog op tafel komt, meeste nieuws herhaalt op dit moment elkaar.
Stay secure
Transmission 2.90 review Tweakers
https://tweakers.net/downloads/36457/Transmission-290.html
GinX RaaS
http://inteller.solutions/?p=356
(welke ondergrondse fora blijft helaas een raadsel)
NOS geeft advies (ipv security.nl)
http://nos.nl/artikel/2091151-mac-gebruikers-voor-het-eerst-doelwit-van-ransomware.html
P.s., iets anders relevants.
Ik zag op de Transmission site geen hashwaarden om downloads te controleren.
Misschien keek ik erover heen, sommige developers verstoppen die graag.
Maar goed, hoeveel zin heeft het om hashes te controleren als de download op hetzelfde domein wordt aangeboden als waar de hashwaarden staan vermeld.
Beetje wakker-hakker past dan ook dat netjes aan.
Evengoed doe ik het altijd braaf waar het kan.
Niet bepaald fraai dit.
assumptions...versie nummers...
http://w3techs.com/sites/info/transmissionbt.com
$ wget -S https://www.transmissionbt.com/
--2016-03-07 18:04:27-- https://www.transmissionbt.com/
Resolving www.transmissionbt.com (www.transmissionbt.com)... 91.121.59.153
Connecting to www.transmissionbt.com (www.transmissionbt.com)|91.121.59.153|:443... connected.
HTTP request sent, awaiting response...
HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Mon, 07 Mar 2016 17:04:27 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Dit incident suggereert dat die geheime sleutel onvoldoende veilig was opgeslagen. DigiNotar in het klein.
Niet bepaald fraai dit.
Aannames zijn een prima manier om alternatieve scenario's door te denken, maar blijf je er wel van bewust wat aannames zijn en wat feiten.
Dit incident suggereert dat die geheime sleutel onvoldoende veilig was opgeslagen. DigiNotar in het klein.
Dit incident hoeft niet eens per se te betekenen dat de sleutel van de ontwikkelaar gecompromitteerd is geraakt. Wie weet heeft de aanvaller een enkele release-build aangepast die vervolgens door een nietsvermoedende ontwikkelaar ondertekend is.
Dit is geen DigiNotar in het klein, dit lijkt meer op een gehackte webserver.
Dit is geen DigiNotar in het klein, dit lijkt meer op een gehackte webserver.
Dat zijn dezelfde fouten die DigiNotar maakte.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
