image

Officiële Mac-app Transmission besmet met ransomware

maandag 7 maart 2016, 09:31 door Redactie, 17 reacties
Laatst bijgewerkt: 07-03-2016, 15:44

Onderzoekers hebben in het officiële installatieprogramma van de Mac-app Transmission ransomware aangetroffen, die bestanden voor losgeld versleutelt. De app werd niet binnen de Mac App Store aangeboden, maar kon via de officiële website van Transmission worden gedownload en was gesigneerd met een geldig ontwikkelaarscertificaat van Apple. Transmission is een populair BitTorrentprogramma.

Op 4 maart slaagden aanvallers erin om twee installatieversies van Transmission 2.90 met de KeRanger-ransomware te infecteren en deze op de officiële website te krijgen, zo meldt beveiligingsbedrijf Palo Alto Networks. Hoe de aanvallers toegang tot de website wisten te krijgen is onbekend. Doordat KeRanger met een geldig ontwikkelaarscertificaat was gesigneerd kon het de Gatekeeper-beveiliging van Mac OS X omzeilen.

De besmette versie blijkt na de installatie drie dagen te wachten voordat er via het Tor-netwerk met de ransomware-servers verbinding wordt gemaakt. Vervolgens versleutelt de ransomware verschillende soorten bestanden en toont het slachtoffer een melding dat er 1 bitcoin voor het ontsleutelen moet worden betaald. Met de huidige wisselkoers komt dat neer op 370 euro.

Apple heeft inmiddels het ontwikkelaarscertificaat ingetrokken en XProtect, de ingebouwde virusverwijdertool in Mac OS X, geüpdatet, zodat de ransomware wordt herkend. De ontwikkelaars van Transmission hebben de besmette versie van de website verwijderd en twee nieuwe versies uitgebracht. Via een grote waarschuwing op de website wordt gebruikers aangeraden om versie 2.92 te installeren, die de ransomware verwijdert. Ook gebruikers die versie 2.91 installeerden moeten naar deze versie upgraden. Hoewel versie 2.91 niet geïnfecteerd is geweest, verwijdert die niet de ransomware. Volgens VirusTotal wordt de ransomware op dit alleen moment door Trend Micro gedetecteerd.

Update

De ransomware blijkt na een herstart van de computer niet meer te werken, totdat de besmette Transmission-app weer wordt gestart. Daarnaast hebben gebruikers die besmette Transmission-versie installeerden nog enkele uren voordat de ransomware tot het versleutelen van bestanden overgaat. Zie ook dit artikel.

Reacties (17)
07-03-2016, 09:47 door [Account Verwijderd] - Bijgewerkt: 07-03-2016, 10:39
[Verwijderd]
07-03-2016, 10:42 door Anoniem
Door Muria:
Door redactie:
Op 4 maart slaagden aanvallers erin om twee installatieversies van Transmission 2.90 met de KeRanger-ransomware te infecteren en deze op de officiële website te krijgen, zo meldt beveiligingsbedrijf Palo Alto Networks
Op de officiële website? Wow! WOW!

En die website is gemaakt met? ... PHP 5.4.45

PHP 5.4. Dat zegt wel wat over de prio van security.
07-03-2016, 11:58 door [Account Verwijderd]
[Verwijderd]
07-03-2016, 12:47 door Anoniem
Door Muria: En die website is gemaakt met? ... PHP 5.4.45
Waar heb je dat precies gevonden? Ik zie het niet in de HTTP response-headers van die website staan bijvoorbeeld.
Door MAC-user: Dus een toegang gekregen via een verouderde PHP?
Dat iets een mogelijkheid is betekent nog niet dat het de enige mogelijkheid is. De manier waarop men is binnengedrongen is voor zover ik heb gelezen nog onbekend. Dan kan het ook iets anders zijn geweest, bijvoorbeeld een gecompromitteerd wachtwoord of een gecompromitteerd werkstation van een ontwikkelaar.
07-03-2016, 12:51 door Anoniem
Door MAC-user: Dus een toegang gekregen via een verouderde PHP?
Niet bepaald fraai dit.

assumptions...versie nummers...
07-03-2016, 14:49 door Anoniem
Wellicht toont dit aan dat "met een geldig certificaat ondertekent" en "bevat geen maiware" niets maar dan ook
helemaal NIETS met elkaar te maken hebben?
07-03-2016, 14:49 door Anoniem
RaaS ?

Ik zat pas toevallig over Transmission te lezen op Tweakers.
De review begon zo..
Na lange tijd van stilte is er weer eens een nieuwe versie van Transmission verschenen.

De discussie eronder was wel direct interessant, want inderdaad een interval in je update support van bijna 2 jaar?
Waren er in de tussentijd dan nooit relevante kwetsbaarheden te patchen?

Nou hing het wel een beetje in de lucht, ook hier op forum werd daar in een aparte waarschuwing op gewezen overigens.
Mac OSX Ransomware "GinX" ?
01-03-2016, 22:17

https://www.security.nl/posting/462996/Mac+OSX+Ransomware+%22GinX%22+%3F

Want sinds begin februari schijnt het dat Ransomware as a service (RaaS) voor Mac OS X al werd aangeboden op 'ondergrondse fora'.
Interessant zal het worden om te zien of de huidige 'maker' van de geïnfecteerde Transmission app eigenlijk gebruik heeft gemaakt van de Ransomware dienst door componenten daarvan te implementeren in de Transmission app.

De aangeboden 2.90 versie had ik vorige week niet gedownload (wat moest ik er sowieso mee?) maar nu wel, bij een van de bekende software portals waar je je software nou juist niet vandaan moet halen (ook al heb je 100% safe garantie als je ze mag geloven) nog een exemplaar gevonden.

Misschien eens loslaten op een testsysteempje om te kijken of er nog nuttige security maatregelen van kunnen worden afgeleid.
Maar ik ben bang van niet, een app in het algemeen en een dergelijke app in het bijzonder leent zich natuurlijk perfect (ivm poorten en verbindingen circus) voor dit soort gare onzin .

Ik ben benieuwd naar wat voor informatie hier verder nog op tafel komt, meeste nieuws herhaalt op dit moment elkaar.

Stay secure


Transmission 2.90 review Tweakers
https://tweakers.net/downloads/36457/Transmission-290.html

GinX RaaS
http://inteller.solutions/?p=356
(welke ondergrondse fora blijft helaas een raadsel)

NOS geeft advies (ipv security.nl)
http://nos.nl/artikel/2091151-mac-gebruikers-voor-het-eerst-doelwit-van-ransomware.html


P.s., iets anders relevants.
Ik zag op de Transmission site geen hashwaarden om downloads te controleren.
Misschien keek ik erover heen, sommige developers verstoppen die graag.

Maar goed, hoeveel zin heeft het om hashes te controleren als de download op hetzelfde domein wordt aangeboden als waar de hashwaarden staan vermeld.
Beetje wakker-hakker past dan ook dat netjes aan.

Evengoed doe ik het altijd braaf waar het kan.
07-03-2016, 15:55 door [Account Verwijderd] - Bijgewerkt: 07-03-2016, 15:56
[Verwijderd]
07-03-2016, 16:49 door Anoniem
Door Anoniem:
Door MAC-user: Dus een toegang gekregen via een verouderde PHP?
Niet bepaald fraai dit.

assumptions...versie nummers...
zou het verkeerd zijn aannames te maken dan? kom op zeg!
07-03-2016, 17:31 door Anoniem
Welk certificaat is er dan gebruikt voor het ondertekenen ? Dat is de interresante vraag dan.
07-03-2016, 18:09 door Anoniem
Door Muria:
Door Anoniem: Waar heb je dat precies gevonden? Ik zie het niet in de HTTP response-headers van die website staan bijvoorbeeld.

http://w3techs.com/sites/info/transmissionbt.com
Ah, bedankt. Alleen vraag ik me af of dat wel up-to-date is. Ze melden dat als webserver Nginx 1.2.1 gebruikt wordt terwijl de HTTP-headers dit melden:

$ wget -S https://www.transmissionbt.com/
--2016-03-07 18:04:27-- https://www.transmissionbt.com/
Resolving www.transmissionbt.com (www.transmissionbt.com)... 91.121.59.153
Connecting to www.transmissionbt.com (www.transmissionbt.com)|91.121.59.153|:443... connected.
HTTP request sent, awaiting response...
HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Mon, 07 Mar 2016 17:04:27 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
07-03-2016, 21:22 door Anoniem
@redactie Er wordt niet ondertekend met een certificaat, maar met een geheim sleutel. Het certificaat dient alleen ter identificatie van de ondertekenende partij.

Dit incident suggereert dat die geheime sleutel onvoldoende veilig was opgeslagen. DigiNotar in het klein.
07-03-2016, 21:41 door Anoniem
Door Anoniem: zou het verkeerd zijn aannames te maken dan? kom op zeg!
Wel als je een aanname voor zekerheid verslijt. De aanname was zo geformulieerd:
Door MAC-user: Dus een toegang gekregen via een verouderde PHP?
Niet bepaald fraai dit.
Dat leest alsof MAC-user er wél meteen van uitging dat het ook zo is. Bij het lezen van nieuws over wat ergens anders gebeurt zal het niet zo kritisch zijn, maar als je zo eigen problemen gaat oplossen dan loop je een groot risico dat je een ander probleem oplost dan je hebt en er pas na een hoop vergeefse inspanning achter komt dat je beter wat anders had kunnen doen.

Aannames zijn een prima manier om alternatieve scenario's door te denken, maar blijf je er wel van bewust wat aannames zijn en wat feiten.
08-03-2016, 00:51 door Anoniem
Door Anoniem: @redactie Er wordt niet ondertekend met een certificaat, maar met een geheim sleutel. Het certificaat dient alleen ter identificatie van de ondertekenende partij.

Dit incident suggereert dat die geheime sleutel onvoldoende veilig was opgeslagen. DigiNotar in het klein.
Er is een ontwikkelaarcertificaat ingetrokken. De ontwikkelaar heeft dus een sleutelpaar, bedoeld om releases mee te ondertekenen, waarvan de publieke sleutel door Apple is ondertekend en die nu via een CRL of een ander mechanisme gedeactiveerd is. De CA (Apple) is niet gecompromitteerd zoals DigiNotar overkwam, enkel de ontwikkelaar van Transmission. Dit is geen DigiNotar in het klein, dit lijkt meer op een gehackte webserver.

Dit incident hoeft niet eens per se te betekenen dat de sleutel van de ontwikkelaar gecompromitteerd is geraakt. Wie weet heeft de aanvaller een enkele release-build aangepast die vervolgens door een nietsvermoedende ontwikkelaar ondertekend is.
08-03-2016, 09:31 door Anoniem
Door Anoniem:
Dit is geen DigiNotar in het klein, dit lijkt meer op een gehackte webserver.
Een webserver hoort de sleutels voor ondertekening van software niet te bevatten. Die horen ver buiten bereik van het internet bewaard te worden.

Dit incident hoeft niet eens per se te betekenen dat de sleutel van de ontwikkelaar gecompromitteerd is geraakt. Wie weet heeft de aanvaller een enkele release-build aangepast die vervolgens door een nietsvermoedende ontwikkelaar ondertekend is.
In dit geval is de interne beveiliging en controle ongelofelijk brak.
08-03-2016, 10:40 door [Account Verwijderd] - Bijgewerkt: 08-03-2016, 10:42
[Verwijderd]
08-03-2016, 13:33 door Anoniem
Door Anoniem:
Door Anoniem:
Dit is geen DigiNotar in het klein, dit lijkt meer op een gehackte webserver.
Een webserver hoort de sleutels voor ondertekening van software niet te bevatten. Die horen ver buiten bereik van het internet bewaard te worden.

Dit incident hoeft niet eens per se te betekenen dat de sleutel van de ontwikkelaar gecompromitteerd is geraakt. Wie weet heeft de aanvaller een enkele release-build aangepast die vervolgens door een nietsvermoedende ontwikkelaar ondertekend is.
In dit geval is de interne beveiliging en controle ongelofelijk brak.

Dat zijn dezelfde fouten die DigiNotar maakte.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.