Início » Antivírus e Segurança » Versão infectada do Transmission espalhou malware para usuários de Mac

Versão infectada do Transmission espalhou malware para usuários de Mac

Transmission é um dos clientes de torrent mais utilizados na plataforma da Apple.
Ransomware criptografava silenciosamente os arquivos dos usuários e pedia "resgate" de 1 bitcoin.

Paulo Higa Por

O Transmission, um dos clientes de torrent mais utilizados no OS X, disseminou um ransomware para Mac que criptografava os arquivos do sistema e impedia o acesso a eles até que a vítima pagasse um “resgate”. O malware, batizado de KeRanger, estava escondido na versão 2.90 do Transmission, que foi distribuída na página oficial do aplicativo durante algumas horas da última sexta-feira (4).

Este é, provavelmente, o primeiro ransomware totalmente funcional para Mac. A Palo Alto Networks, que descobriu a praga, nota que o FileCoder era o malware mais recente da espécie que se tinha notícia no OS X — ele havia sido descoberto em 2014 pela Kaspersky. No entanto, na época em que foi divulgado, o FileCoder ainda não estava totalmente desenvolvido.

transmission-icone

O KeRanger funciona assim: depois que o usuário instala o aplicativo infectado no Mac, o ransomware aguarda três dias e passa a receber comandos remotos pela rede Tor. Então, ele começa a criptografar documentos e alguns tipos de arquivos do sistema. Após os dados serem "protegidos", o usuário é obrigado a pagar 1 bitcoin (algo em torno de R$ 1,7 mil) para que as informações sejam recuperadas.

Os desenvolvedores do ransomware foram bem espertos. Como é assinado com um certificado válido, o KeRanger era capaz de furar o Gatekeeper, recurso do Mac que protege os usuários de aplicativos maliciosos. Além disso, é claro que os usuários precavidos do Mac fazem backup de seus arquivos no Time Machine, e poderiam recuperar os arquivos — mas o KeRanger também afeta o backup do OS X.

O "resgate" para ter os arquivos de volta era de 1 bitcoin (R$ 1,7 mil)

O "resgate" para ter os arquivos de volta era de 1 bitcoin (R$ 1,7 mil)

Quem baixou o Transmission na página oficial entre sexta-feira (4) e sábado (5) pode ter sido infectado. Para descobrir se você foi afetado, verifique se existe um documento chamado “General.rtf” na pasta /Applications/Transmission.app/Contents/Resources/, ou se algum processo identificado como “kernel_service” está sendo executado no Monitor de Atividade.

A Apple já revogou o certificado do KeRanger e atualizou as assinaturas do XProtect para bloquear o malware, portanto, os usuários de Mac não devem mais conseguir instalar a versão infectada do Transmission. É recomendável que os usuários do cliente de torrent baixem a versão 2.92 do cliente, diretamente do site do aplicativo — que não está mais infectado, garantem os desenvolvedores.

Mais sobre: ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Arthur Dubeux
Deluge BitTorrent Client
Rodrigo Freijanes
Como usar torrent no iPhone?
Usava o uTorrent no Android, mas migrei tudo pra Apple.
Não uso mais computador, só iPad e iPhone.
Carlos Aurélio
O certo é desinstalar essa porcaria..
RaphaelDDL
Nope.
https://tecnoblog.net/192586/malware-bancario-brasileiro-multiplataforma/
Leonardo Silva Coutinho
o melhor que tem
Petró
Ainda bem que não uso o Transmission há alguns meses.
G. Croft
Invadiram o site e colocaram o malware. Não afetou o desenvolvimento do projeto. Esse tipo de ação pode acontecer tanto em projeto aberto quanto fechado.
Paulo Freitas
À partir do momento que você tem livre acesso ao servidor de determinado aplicativo/sistema operacional o céu é o limite para o que você pode fazer... O Linux Mint sofreu o mesmo ataque dias atrás. Infelizmente, a realidade é que a grande maioria dos servidores web é muito mal gerenciada e protegida. Já descobriram que este é o caminho mais fácil para distribuir malwares...
João
Linux que não tem...
Caleb Enyawbruce
Ue achei q nao existia virus pra Mac!
Ramon Gonzalez
Ue achei q nao existia virus pra Mac!
Paulo Freitas
A dica é usar o Homebrew (brew cask install transmission) para instalar aplicativos/bibliotecas. Uso há tempos e uma mínima alteração no arquivo distribuído faz com que a instalação do programa não prossiga - todos os programas distribuídos através do Homebrew possuem verificação de hash [https://github.com/caskroom/homebrew-cask/blob/master/Casks/transmission.rb]. :)

Mais sobre: http://brew.sh/
Thiago
O que mais me surpreendeu nessa notícia é o fato de um bitcoin estar valendo R$1,7 mil! Caramba! Quando li o título pensei "Caramba, que golpistas bonzinhos (ao que depois concluí com um SQN)
Diego Vieira
qBittorrent
Tuk
Não, invadiram o site e trocaram o .dmg do MAC.
Zanac_Compile
Ransomware é a peste de 2016...

Ninguém mais explora crime de roubo de senha, de fraude em Internet Banking, não vale a pena é mais complexo e dá cadeia, é rastreável... Os criminosos estão optando por Ransomware, muito mais efetivo e seguro pra eles....

Tá feia a coisa... nunca vi nada igual.
Ryderr3
Não, invadiram o site e trocaram o .dmg do MAC.
Diego Bruno
Com ceteza a troca do arquivo foi feita diretamente no servidor, recentemente aconteceu algo parecido com a distro Linux Mint onde a ISO foi "trocada". Em um desenvolvimento open soucer não quer dizer que qualquer pessoa vai "mexer" no código fonte do "produto final", é ao contrário, qualquer pessoa vai ter acesso ao código de um "produto final" feito por uma determinada "equipe" (comunidade)
ochateador
"Monitor de Atrividade."
Fim do penúltimo parágrafo :P
Diogo
Faltou os desenvolvedores dizerem como isso - o aplicativo ser infectado - chegou a acontecer... Será que é por conta do Transmission ser open source?
Diogo Nóbrega
Faltou os desenvolvedores dizerem como isso - o aplicativo ser infectado - chegou a acontecer... Será que é por conta do Transmission ser open source?
Caio Alexandre
Ransomware é tipo aqueles papeis colados em postes públicos.
Trago seu computador de volta por apenas 1 bitcoin. Amarração para arquivos.