Transmission, rischio infezione Mac con malware OSX/Keydnap

transmission-620x400.jpg

Se di recente avete utilizzato Transmission, allora è bene che leggiate con attenzione questo post: il vostro Mac potrebbe essere stato compromesso. Ecco come verificarlo e rimetterlo in sicurezza.

Transmission, il noto (e altrimenti eccellente) client Bit Torrent per Mac, è apparso al centro di un nuovo scandalo di sicurezza. Dei malintenzionati sono riusciti a caricarne una versione contraffatta sul sito ufficiale: il che significa che basta aver effettuato un download nei giorni scorsi infettare il proprio Mac.

Il malware in questione è stato chiamato OSX/Keydnap ed è nascosto all'interno dell'app; e purtroppo Gatekeeper, la funzione di sicurezza di OS X, non è in grado di identificarla poiché viene avviata sfruttando un certificato valido.

Per fortuna, i ricercatori si sono accorti subito della minaccia e hanno avvisato gli sviluppatori; nel giro di pochi minuti la questione è stata risolta, ma intanto l'app malevola è rimasta online per circa 24 ore tra il 28 e il 29 agosto.

Ripulire il Mac

Chiunque abbia scaricato la versione version 2.92 in quei giorni deve effettuare il seguente controllo (pare che la funzione di auto-update sia esclusa). Per prima cosa, aprite Monitoraggio Attività e verificate la presenza dei seguenti processi; se ne trovate anche solo uno, siete stati infettati:


  • icloudproc

  • License.rtf

  • icloudsyncd

  • /usr/libexec/icloudsyncd -launchd netlogon.bundle

Forzatene la chiusura, e ora passate al setaccio i seguenti file su Mac; stessa storia: se ne trovate anche solo uno, cestinatelo immediatamente.


  • /Applications/Transmission.app/Contents/Resources/License.rtf

  • /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf

  • $HOME/Library/Application

  • Support/com.apple.iCloud.sync.daemon/icloudsyncd

  • $HOME/Library/Application

  • Support/com.apple.iCloud.sync.daemon/process.id

  • $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist

  • /Library/Application Support/com.apple.iCloud.sync.daemon/

  • $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

Dopodiché, scaricate la versione ripulita di Transmission dal sito ufficiale.

Purtroppo, è già la seconda volta che questo copione si ripete, e si spera che gli sviluppatori prendano le precauzioni necessarie d'ora in avanti. D'altro canto, anche società molto più grosse e blindate finiscono talvolta nel mirino degli hacker: di recente, decine di app sull'App Store di Apple sono state rimosse e caricate nuovamente dopo un'infezione.

  • shares
  • Mail
2 commenti Aggiorna
Ordina: