Le mois dernier, les chercheurs d’ESET ont découvert un malware sur Mac OS X nommé OSX/Keydnap, qui exfiltre les mots de passe et clés stockés dans le gestionnaire de mots de passe « KeyChain » ; et qui crée une porte dérobée permanente.
Au moment de la découverte, notre Malware Researcher Marc-Etienne Léveillé expliquait que « tous les utilisateurs d'OS X doivent rester vigilants car nous ne savons toujours pas comment Keydnap est distribué, ni combien de victimes ont été touchées ».
Les équipes ESET viennent de découvrir que le malware OSX/Keydnap se distribue via une version compilée de l’application BitTorrent.
Une réponse instantanée de l’équipe de transmission
Suite à l’alerte donnée par ESET, l’équipe de transmission a supprimé le fichier malveillant de leur serveur Web et a lancé une enquête pour identifier le problème. Au moment de la diffusion de la première alerte, il était impossible de préciser depuis combien de temps le fichier malveillant a été mis à disposition en téléchargement.
Selon les informations de la signature, l’application a été signé le 28 août 2016, mais ne se serait répandu que le lendemain. Ainsi, les équipes ESET conseillent aux personnes qui ont téléchargé la transmission V2.92 entre le 28 et le 29 août 2016 de vérifier si leur système est compromis en testant la présence de l’un des fichiers ou répertoires suivant :
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Si l’un d’eux est présent, cela signifie que l’application malveillante de « transmission » a été exécutée et que le malware Keydnap est probablement en cours d’exécution. Notez également que l’image malicieuse du disque se nomme Transmission 2.92.dmg tandis que l’original se nomme Transmission-2.92.dmg (trait d’union).
Pour plus d’informations, rendez-vous sur notre blog WeLiveSecurity.