image

Transmission met Mac-ransomware 6500 keer gedownload

dinsdag 8 maart 2016, 11:44 door Redactie, 2 reacties

De versie van het torrentprogramma Transmission waar aanvallers afgelopen vrijdag ransomware voor Mac OS X in hadden verstopt is zo'n 6500 keer gedownload, zo heeft een ontwikkelaar van de software laten weten. Volgens John Clay van Transmission hebben waarschijnlijk veel gebruikers door tijdig optreden van Apple de besmette versie niet kunnen installeren.

Apple besloot de ingebouwde virusverwijdertool XProtect in Mac OS X te updaten, zodat het de ransomware herkende. Daarnaast werd het door Apple uitgegeven ontwikkelaarscertificaat, dat was gebruikt voor het signeren van de aangepaste Tranmission-versie, ingetrokken. Door de digitale handtekening accepteerde de Gatekeeper-beveiliging van Mac OS X het bestand. Standaard staat Mac OS X zo ingesteld dat alleen apps uit de Mac App Store en applicaties van bekende ontwikkelaars geïnstalleerd mogen worden.

KeRanger, zoals de ransomware wordt genoemd, versleutelt pas na drie dagen bestanden op besmette systemen en stopt met werken na een herstart. Voor Mac-gebruikers die de besmette Transmission-versie op 4 maart hadden gedownload verliep gisteren dan ook de deadline. "Van sommige mensen zullen sommige bestanden worden versleuteld, maar ik denk dat het erg zal meevallen", zegt Ryan Olson van Palo Alto Networks tegenover Threatpost. Het beveiligingsbedrijf ontdekte de ransomware. Door met Apple en Transmission samen te werken kon een groot probleem volgens hem worden voorkomen.

Hoe de aanvallers toegang tot de officiële website van Transmission wisten te krijgen en daar de aangeboden downloads konden aanpassen is nog altijd onbekend. Transmission stelt dat het maatregelen heeft genomen om de webserver te beveiligen en zal binnenkort met een update over de aanval komen. Lawrence Abrams van Bleeping Computer heeft een verwijdertool ontwikkeld die de KeRanger-ransomware kan verwijderen. Tevens geeft hij aparte instructies aan mensen die het losgeld van 1 bitcoin (370 euro) niet en wel willen betalen.

Reacties (2)
08-03-2016, 13:00 door Anoniem
Als onderzoeker kan ik stellen dat het inderdaad groot alarm was. Maar gelukkig was Palo Alto Networks, Apple en natuurlijk de community met zijn vele vrijwilligers, samen met de AV-bedrijven en de websites (zoals security.nl) er ook nog. In korte tijd werd er tijdig ingegrepen. Met dank aan de velen die de AV-bedrijven van de malware-samples hebben voorzien. De Social Media mag zeker ook niet ongenoemd blijven! Als de samenwerking zo blijft dan hebben cybercriminelen maar weinig kans iets groots uit te halen.
08-03-2016, 14:35 door Anoniem
Dat is aardig van bleeping computer (dacht dat ze alleen pc advies gaven)

Wel even educatief-cynisch doen.

Situatie:
- Hoewel in ieder geval de static content van bleeping computer achter Cloudflare zit weet ik niet hoe het met de veiligheid van de rest van die site zit. Hackbaar?
- BLeepC website biedt geen versleutelde verbinding aan, ook niet voor de download.
- Het file wordt door BleepC aangeboden als zip (ipv dmg) zonder een opgegeven sha waarde om te kunnen controleren.
Dus heb je nog minder zicht op wat je downloadt!
- BleepC biedt dus ook een app aan (basis is een script) dat wanneer je het start allerlei (goede) zaken op jouw computer gaat uitvoeren.

Gevolg:
De gebruiker start met volle overgave een app, helaas voert de app iets anders uit dan de gebruiker verwachtte.
Als het daar achter komt is het te laat.
Dat is de essentie van veel malware en door de onzorgvuldigheid van bleepingC, hoe goed bedoeld ook, werkt het toch een beetje mee aan het juist niet opvoeden van gebruikers!

Want het devies is onder meer:
- downloaden van apps het liefst van de app store
- apps gebruiken die op zijn minst een certificaat check bij Apple doen
- een app controleren op een opgeven hashwaarde als Sha1 / sha256 / sha 512
- bij voorkeur een app downloaden over een versleutelde verbinding

- app downloaden vanaf de site van de ontwikkelaar (bij deze)
- reviews lezen over de app (wie?)
- eventueel de app zelf analyseren (wie? Security.nl?)
Ik zie, dummiedenk dat het checkt op de bekende files al o.a. General.rtf, kernel files en (geloof ik) lopende foute Transmission related processen om die evt te isoleren door te verplaatsen naar een nieuw gecreëerde quarantaine folder en het resultaat van encrypted files te printen naar text (geloof ik)).

O, ja, sommige zaken vereisen Admin rechten (voel je hem?), vult u hier maar in dat Admin password!!!

AUW!:
Goed bedoeld advies dus bepaald nog niet helemaal goed uitgewerkt.
Want als je dit download dan download je op dezelfde wijze en zonder controle ook van andere plekken.
Klik je het met dezelfde overtuiging aan en vul je met de dezelfde overtuiging netjes en braaf op verzoek je admin password in (!!), kan je ineens zomaar wel de pineut zijn omdat de inhoud van de geactiveerde anders was dan je verwachtte (waar kennen we die situatie ook alweer van?).

Kortom, omdat je zo geconditioneerd bent en ook wordt mede door BleepC trap je in bekend voorkomende situaties waar je niet in zou moeten trappen.
Dat heet ook wel gebruikmaken van social engineering wat overigens alleen werkt als gebruikers op bekende punten niet goed opletten en de goeden op een manier werken die ruimte laat voor misbruik!

En, heb je de app klakkeloos gedownload en laten draaien?
Als je het educatief-cynisch bekijkt was dit dè kans geweest ook deze app met ransomware te besmetten! maar er komen vast nog weel meer sites waar een 'checher' te downloaden valt.
En dan maar hopen dat het ook echte checkers zijn.
Vermoedelijk niet altijd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.