Nieuws

Mac-backdoor in officiële versie Transmission verstopt

dinsdag 30 augustus 2016, 14:52 door Redactie, 12 reacties

Laatst bijgewerkt: 30-08-2016, 15:29

Internetcriminelen zijn er weer in geslaagd om malware te verbergen in het officiële installatieprogramma van het populaire BitTorrentprogramma Transmission voor Mac OS X. Het gaat om een Mac-backdoor genaamd Keydnap die gemaakt is om wachtwoorden en sleutels uit de keychain te stelen.

Het Slowaakse anti-virusbedrijf ESET ontdekte de malware vorig maand al, maar wist destijds nog niet hoe die zich verspreidde. Nu blijkt dat aanvallers toegang tot de webserver van Transmission hebben gekregen om vervolgens via de website een getrojaniseerde versie van het programma te verspreiden. Deze versie was gesigneerd, aldus de onderzoekers van ESET. Iedereen die Transmission tussen 28 augustus en 29 augustus heeft gedownload krijgt van de onderzoekers het advies om op de aanwezigheid van de backdoor te controleren. Dit kan door op de aanwezigheid van bepaalde bestanden of directories te controleren, zoals uitgelegd in dit artikel.

Het is niet de eerste keer dat Transmission wordt gebruikt om malware te verspreiden. In maart was het ook al raak. Toen werd er in de installatieprogramma's van de software ransomware aangetroffen. De besmette versies waren destijds door 6500 mensen gedownload. Hoe de aanvallers zowel in maart als deze maand toegang tot de webserver wisten te krijgen is nog altijd onbekend. In maart liet de ontwikkelaar van het programma weten dat er informatie over de aanval zou volgen, maar dat is nooit gebeurd. Op dit moment worden gebruikers nog niet via de website van Transmission over de nieuwe aanval ingelicht.

FBI wil volgend jaar volwassen gesprek over encryptie

Telecomtoezichthouders publiceren regels voor netneutraliteit

Reacties (12)

30-08-2016, 15:18 door Anoniem

Zie je wel dat het klopt wat BREIN zegt!

30-08-2016, 15:22 door Anoniem

Iedereen die Transmission tussen 28 augustus en 29 augustus heeft gedownload krijgt het advies om op de aanwezigheid van de backdoor te controleren.

Door wie wordt dit aangeraden en hoe doen mensen dit als ze geen verstand hebben?

30-08-2016, 16:16 door Anoniem

Door Anoniem: Zie je wel dat het klopt wat BREIN zegt!

28 augustus en 29 augustus

Dan hadden ze een stuk specifieker mogen zijn :)

30-08-2016, 16:17 door Anoniem

Door Anoniem:

Iedereen die Transmission tussen 28 augustus en 29 augustus heeft gedownload krijgt het advies om op de aanwezigheid van de backdoor te controleren.

Door wie wordt dit aangeraden en hoe doen mensen dit als ze geen verstand hebben?

ik heb net gekeken aan de achterkant van mijn mac, geen deur te zien.
er zitten wel pluisjes in de netwerk poort, is dat spyware?

30-08-2016, 16:51 door Anoniem

Als transmission service is wetransfer aan te bevelen.
Geen app en geen last van malware.

30-08-2016, 17:34 door Anoniem

Door Anoniem: Als transmission service is wetransfer aan te bevelen.
Geen app en geen last van malware.

Transmission maakt gebruikt van de BitTorrent protocol. WeTransfer maakt gebruik van HTTPS.
Daar zit een groot verschil in. Er zijn zat mensen die malware versturen via WeTransfer of andere upload services.

Beetje hypocritisch vind je niet?

30-08-2016, 17:55 door Anoniem

Iemand die weet hoe na te gaan of ik een besmette installatie heb? Zo ja, hoe deze effectief te verwijderen.

Ik dank u alvast!

30-08-2016, 19:30 door [Account Verwijderd]

Door Anoniem, 16:51uur: Als transmission service is wetransfer aan te bevelen.(knip) geen last van malware

Nou ja, het is misschien het minst bevattelijk voor Malware. Om te stellen 'geen last van' is een utopie. Misschien nu precies op dit moment maar de dag van morgen kan in de snel veranderende digitale wereld er heel anders uit zien.

Dus Ik scan zowel onder MacOSX en Windows via WeTransfer binnengehaalde zaken altijd met MalwareBytes.

Feit vind ik wel:

Hoe vervelend deze besmetting ook mag zijn, ik kan weinig consideratie voor eventuele 'slachtoffers' opbrengen. BitTorrentprogramma's worden veel gebruikt om voor nop programma's te downloaden die feitelijk onder licentie 'gekocht' moeten worden. Iedereen die dat bestrijdt heeft...boter op zijn hoofd.

Dus je begeeft je op grijze, zeg maar gerust duistere paden die het daglicht moeilijk kunnen verdragen, en daar huist altijd gespuis. Beetje theatraal verwoord misschien? Wel, het is gewoon zo.

Dat nu juist een BitTorrent programma zoals Transmission is getrojaniseerd is dus helemaal niet verwonderlijk (had overigens evenzo µTorrent kunnen zijn)
Het hoort een beetje bij het ehh... 'metier' waar je aansluiting bij zoekt.

Terzijde maar toch:

Door Redactie:...getrojaniseerde versie...

Subliem! Wat mij betreft het bijvoeglijke naamwoord van de maand: getrojaniseerd.

30-08-2016, 20:52 door Anoniem

Door Aha:
Hoe vervelend deze besmetting ook mag zijn, ik kan weinig consideratie voor eventuele 'slachtoffers' opbrengen. BitTorrentprogramma's worden veel gebruikt om voor nop programma's te downloaden die feitelijk onder licentie 'gekocht' moeten worden. Iedereen die dat bestrijdt heeft...boter op zijn hoofd.

BitTorrent wordt ook (relatief veel) gebruikt voor het verspreiden van Linuxdistributies (legaal). Minder van belang voor de “grote distributies” als Ubuntu maar voor minder bekende distributies (bijvoorbeeld voor de Raspberry Pi) is downloaden via BitTorrent vaak sneller dan via de website.

31-08-2016, 08:57 door Anoniem

Mocht je Transmission v2.92 op 28 of 29 augustus hebben gedownload,controleer dan of een van deze bestanden aanwezig zijn:

/Applications/Transmission.app/Contents/Resources/License.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
$HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
$HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
$HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
/Library/Application Support/com.apple.iCloud.sync.daemon/
$HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

31-08-2016, 10:31 door [Account Verwijderd] - Bijgewerkt: 31-08-2016, 10:31

[Verwijderd]

31-08-2016, 17:08 door Anoniem

Effectief opgelost, de website zit nu achter een Cloudflare muur.
Deze website valt nooit meer te hacken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer