Alerte sur Mac : OSX/Keydnap se propage via l’application « Transmission »

Alerte sur Mac : OSX/Keydnap se propage via l’application « Transmission »


Le mois dernier, les chercheurs d’ESET ont découvert un malware sur Mac OS X nommé OSX/Keydnap, qui exfiltre les mots de passe et clés stockés dans le gestionnaire de mots de passe « KeyChain » ; et qui crée une porte dérobée permanente.
Au moment de la découverte, notre Malware Researcher Marc-Etienne Léveillé expliquait que « tous les utilisateurs d’OS X doivent rester vigilants car nous ne savons toujours pas comment Keydnap est distribué, ni combien de victimes ont été touchées ».

Les équipes ESET viennent de découvrir que le malware OSX/Keydnap se distribue via une version compilée de l’application BitTorrent.

 

 

Une réponse instantanée de l’équipe de transmission

Suite à l’alerte donnée par ESET, l’équipe de transmission a supprimé le fichier malveillant de leur serveur Web et a lancé une enquête pour identifier le problème. Au moment de la diffusion de la première alerte, il était impossible de préciser depuis combien de temps le fichier malveillant a été mis à disposition en téléchargement.

Selon les informations de la signature, l’application a été signée le 28 août 2016, mais ne se serait répandue que le lendemain. Ainsi, les équipes ESET conseillent aux personnes qui ont téléchargé la transmission V2.92 entre le 28 et le 29 août 2016 de vérifier si leur système est compromis en testant la présence de l’un des fichiers ou répertoires suivant :

 

  • /Applications/Transmission.app/Contents/Resources/License.rtf
  • /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
  • $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
  • /Library/Application Support/com.apple.iCloud.sync.daemon/
  • $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

 

Si l’un d’eux est présent, cela signifie que l’application malveillante de « transmission » a été exécutée et que le malware Keydnap est probablement en cours d’exécution. Notez également que l’image malicieuse du disque se nomme Transmission 2.92.dmg tandis que l’original se nomme Transmission2.92.dmg (trait d’union).

Article original de ESET

 

Pour protéger votre Mac, Denis JACOPINI recommande l’application suivante :


 

Réagissez à cet article