Le mois dernier, la société de sécurité ESET avait alerté au sujet du malware Keydnap pour OS X qui a été conçu pour dérober le contenu du système de gestion de mots de passe Keychain d'Apple et ouvrir une backdoor.
ESET avait évoqué une diffusion de Keydnap par le biais de pièces jointes d'emails de spam ou pour des téléchargements opérés depuis des sites Web non sûrs. Il existait toutefois un doute concernant la méthode de propagation.
Il s'avère que Keydnap a également été diffusé par l'entremise d'un site Web de confiance. En l'occurrence, via une version recompilée du client BitTorrent tout à fait légitime Transmission. ESET a prévenu le site officiel de Transmission qui a retiré le fichier malveillant.
L'application Transmission infectée n'aurait été distribuée que pendant quelques heures entre le 28 et 29 août, sans être disponible à travers le mécanisme de mise à jour automatique. Le site officiel de Transmission indique avoir opéré une migration vers GitHub afin d'aider à prévenir de futurs incidents.
Il ajoute que d'autres services actuellement indisponibles seront déplacés vers de nouveaux serveurs dans les prochains jour. " Comme précaution supplémentaire, nous hébergerons tous les fichiers binaires et le site Web (dont les checksums ; ndlr : les sommes de contrôle) dans deux dépôts séparés. "
Une enquête est en cours mais ce n'est pas la première fois qu'un tel incident a lieu. Une attaque étrangement similaire impliquant l'application Transmission avait déjà eu lieu en mars dernier afin de permettre la propagation du ransomware KeRanger pour Mac. Cela commence à faire beaucoup…
Apple a également été prévenu, notamment pour mettre au diapason sa protection Gatekeeper. Pour les utilisateurs susceptibles d'avoir téléchargé Transmission au mauvais moment, une possible compromission du système peut être vérifiée par la présence des fichiers ou répertoires ci-dessous :
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Des instructions sont données ici.
