Al incluir a Keydnap con el instalador de Transmission, el malware se ejecuta sin la necesidad de ser ejecutado por el usuario, ni se requiere autenticación adicional, más allá de la necesaria para instalar Transmission. Además, como el cliente torrent está firmada correctamente, Gatekeeper permite la ejecución de la instalación del software malicioso sin queja. Después de otorgar acceso a la raíz, Keydnap puede ser utilizado a través del C&C, realizando cualquier acción sobre el sistema, como por ejemplo la captura de la clave de descifrado del llavero del usuario y subir las contraseñas almacenadas.
La firma incluida en el instalador de Transmission no pertenece a los desarrolladores legítimos. Apple ha informado acerca de dicha firma, y se desconoce si ha sido revocada en estos momentos. Los desarrolladores de Transmission publicaron inmediatamente de conocer la notiica una nueva versión para todos los usuarios. Si eres uno de los usuarios que instalaron Transmission entre el 28 y 29 de agosto debes mirar estos directorios y archivos:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.syn.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...