Onderzoekers hebben in het officiële installatieprogramma van de Mac-app Transmission ransomware aangetroffen, die bestanden voor losgeld versleutelt. De app werd niet binnen de Mac App Store aangeboden, maar kon via de officiële website van Transmission worden gedownload en was gesigneerd met een geldig ontwikkelaarscertificaat van Apple. Transmission is een populair BitTorrentprogramma.
Op 4 maart slaagden aanvallers erin om twee installatieversies van Transmission 2.90 met de KeRanger-ransomware te infecteren en deze op de officiële website te krijgen, zo meldt beveiligingsbedrijf Palo Alto Networks. Hoe de aanvallers toegang tot de website wisten te krijgen is onbekend. Doordat KeRanger met een geldig ontwikkelaarscertificaat was gesigneerd kon het de Gatekeeper-beveiliging van Mac OS X omzeilen.
De besmette versie blijkt na de installatie drie dagen te wachten voordat er via het Tor-netwerk met de ransomware-servers verbinding wordt gemaakt. Vervolgens versleutelt de ransomware verschillende soorten bestanden en toont het slachtoffer een melding dat er 1 bitcoin voor het ontsleutelen moet worden betaald. Met de huidige wisselkoers komt dat neer op 370 euro.
Apple heeft inmiddels het ontwikkelaarscertificaat ingetrokken en XProtect, de ingebouwde virusverwijdertool in Mac OS X, geüpdatet, zodat de ransomware wordt herkend. De ontwikkelaars van Transmission hebben de besmette versie van de website verwijderd en twee nieuwe versies uitgebracht. Via een grote waarschuwing op de website wordt gebruikers aangeraden om versie 2.92 te installeren, die de ransomware verwijdert. Ook gebruikers die versie 2.91 installeerden moeten naar deze versie upgraden. Hoewel versie 2.91 niet geïnfecteerd is geweest, verwijdert die niet de ransomware. Volgens VirusTotal wordt de ransomware op dit alleen moment door Trend Micro gedetecteerd.
De ransomware blijkt na een herstart van de computer niet meer te werken, totdat de besmette Transmission-app weer wordt gestart. Daarnaast hebben gebruikers die besmette Transmission-versie installeerden nog enkele uren voordat de ransomware tot het versleutelen van bestanden overgaat. Zie ook dit artikel.
Deze posting is gelocked. Reageren is niet meer mogelijk.