Transmission, rischio infezione Mac con malware OSX/Keydnap

Se di recente avete utilizzato Transmission, allora è bene che leggiate con attenzione questo post: il vostro Mac potrebbe essere stato compromesso. Ecco come verificarlo e rimetterlo in sicurezza.

[related layout=”big” permalink=”https://www.melablog.it/post/188882/ios-9-cinque-mosse-per-blindare-la-sicurezza-di-iphone”]In un periodo in cui si fa un gran parlare di accesso non autorizzato ai dati di un iPhone, abbiamo pensato di tirar su questa lista con 5 consigli pratici per irrobustire la sicurezza su iPhone e renderlo a prova di hacker e FBI.[/related]

[related layout=”right” permalink=”https://www.melablog.it/post/190990/touch-id-apple-modifica-la-sicurezza-senza-dire-nulla”]Da settimane, i vostri iPhone e iPad con Touch ID si comportano diversamente, e chiedono il PIN di sblocco con modalità diverse. È una novità introdotta da Apple un po’ alla chetichella.[/related]

Transmission, il noto (e altrimenti eccellente) client Bit Torrent per Mac, è apparso al centro di un nuovo scandalo di sicurezza. Dei malintenzionati sono riusciti a caricarne una versione contraffatta sul sito ufficiale: il che significa che basta aver effettuato un download nei giorni scorsi infettare il proprio Mac.

Il malware in questione è stato chiamato OSX/Keydnap ed è nascosto all’interno dell’app; e purtroppo Gatekeeper, la funzione di sicurezza di OS X, non è in grado di identificarla poiché viene avviata sfruttando un certificato valido.

Per fortuna, i ricercatori si sono accorti subito della minaccia e hanno avvisato gli sviluppatori; nel giro di pochi minuti la questione è stata risolta, ma intanto l’app malevola è rimasta online per circa 24 ore tra il 28 e il 29 agosto.

Ripulire il Mac

Chiunque abbia scaricato la versione version 2.92 in quei giorni deve effettuare il seguente controllo (pare che la funzione di auto-update sia esclusa). Per prima cosa, aprite Monitoraggio Attività e verificate la presenza dei seguenti processi; se ne trovate anche solo uno, siete stati infettati:

• icloudproc
• License.rtf
• icloudsyncd
• /usr/libexec/icloudsyncd -launchd netlogon.bundle

Forzatene la chiusura, e ora passate al setaccio i seguenti file su Mac; stessa storia: se ne trovate anche solo uno, cestinatelo immediatamente.

• /Applications/Transmission.app/Contents/Resources/License.rtf
• /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
• /home/html_deploy/Library/Application
• Support/com.apple.iCloud.sync.daemon/icloudsyncd
• /home/html_deploy/Library/Application
• Support/com.apple.iCloud.sync.daemon/process.id
• /home/html_deploy/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
• /Library/Application Support/com.apple.iCloud.sync.daemon/
• /home/html_deploy/Library/LaunchAgents/com.geticloud.icloud.photo.plist

Dopodiché, scaricate la versione ripulita di Transmission dal sito ufficiale.

Purtroppo, è già la seconda volta che questo copione si ripete, e si spera che gli sviluppatori prendano le precauzioni necessarie d’ora in avanti. D’altro canto, anche società molto più grosse e blindate finiscono talvolta nel mirino degli hacker: di recente, decine di app sull’App Store di Apple sono state rimosse e caricate nuovamente dopo un’infezione.