Mac-versie Transmission bevatte voor de tweede keer malware

De officiële versie van bittorrent-client Transmission voor OS X is voor de tweede keer besmet met kwaadaardige code. Dit keer zijn gebruikers geïnfecteerd met de Keydnap-malware, die gegevens uit de keychain steelt. Vermoedelijk was de malware op 28 en 29 augustus aanwezig.

Beveiligingsbedrijf ESET ontdekte de aanwezigheid van Keydnap in Transmission v2.92 en heeft de makers van de software ingelicht. Volgens de onderzoekers is de bittorrent-client daarop direct vervangen door een schone versie, maar de besmette client zou op 28 en 29 augustus online hebben gestaan. Transmission heeft nog niet gereageerd op het voorval en de website is op het moment van schrijven offline.

De Keydnap-malware die aanwezig was in de software, werd in begin juli ontdekt door ESET. De malware kan gebruikt worden voor het stelen van wachtwoorden gegevens uit de keychain en fungeert als backdoor. Destijds bestond er nog onduidelijkheid over hoe de malware verspreid werd.

Het is de tweede keer dat de Mac-versie van Transmission malware bevatte. In maart bleek dat versie 2.90 van de app met de ransomware KeRanger was besmet. Destijds werd de besmette software door 6500 mensen gedownload.

Hoe de aanvallers toegang hebben gekregen tot de webserver van Transmission en op die manier een gesigneerde versie van de app konden besmetten met hun malware, is nog niet duidelijk. De ontwikkelaar zei na het eerste voorval met details over de aanval te komen, maar dat is tot op heden niet gebeurd.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 30-08-2016 17:47
47 • submitter: MrTre

30-08-2016 • 17:47

47 Linkedin

Submitter: MrTre

Lees meer

Transmission-bittorrentclient werkt aan patch voor rce-lek Nieuws van 16 januari 2018
Lek liet aanvaller macOS-systeem overnemen met usb-drive Nieuws van 23 november 2017
Onderzoeker waarschuwt voor toegang tot macOS-keychain door bepaalde apps Nieuws van 26 september 2017
'Oude FruitFly-malware dient tot het in de gaten houden van Mac-gebruikers' Nieuws van 24 juli 2017
Hackers verspreiden besmette versie Mac-app Handbrake via mirrorserver Nieuws van 8 mei 2017
Beveiligingsbedrijf vindt tool voor het verspreiden van malware in torrents Nieuws van 22 september 2016
'Xiaomi kan op afstand applicaties installeren op toestel' Nieuws van 15 september 2016
Onderzoekers vinden OS X-malware die gegevens uit keychain steelt Nieuws van 7 juli 2016
Messages-dienst voor OS X bevatte kwetsbaarheid die berichten prijsgaf Nieuws van 8 april 2016
Officiële versie Mac-app Transmission bevatte ransomware Nieuws van 7 maart 2016
Beveiligingsbedrijf: malware voor OS X maakt grote groei door Nieuws van 5 november 2015
Exploit voor ernstig beveiligingslek in Mac OS X verschijnt in het wild Nieuws van 4 augustus 2015
Onderzoekers krijgen malware die wachtwoorden steelt in App Store iOS en OS X Nieuws van 17 juni 2015
Onderzoeker: malware kan beveiliging op Mac OS X gemakkelijk omzeilen Nieuws van 26 april 2015
Meer producten en artikelen
Software Netwerk en systeembeheer Apple Mac OS X Ransomware Transmission

Reacties (47)

-Moderatie-faq
47
45
27
2
1
7
Wijzig sortering
Anoniem: 66431
30 augustus 2016 17:52
Vreemd... Weet iemand hier of de software in Mac omgeving zichzelf automatisch kon updaten? Ik heb namelijk deze app bij een paar oude klanten erop gehad maar weet niet zeker of ik deze er na gebruik ook weer af heb gehaald. En zo dus de klanten heb blootgesteld.

Met name vraag ik me dit af over de eerste malware DETECTIE en niet zozeer over de opvolgende. Ook omdat het maar om twee dagen besmetting lijkt te gaan.

Zover ik me herinner update deze niet... Maar het is al zo lang geleden...
NotSoSteady
@Anoniem: 6643130 augustus 2016 18:02
Ik denk dat het alleen om nieuwe downloads gaat, volgens mij is versie v2.92 al eerder uitgebracht.

Edit:
Het gaat dus alleen om nieuwe downloads, want ik heb Transmission enige tijd geleden al gedownload en ook dat is versie 2.92. Deze versie bevat geen sporen van malware (gelukkig maar).
Thus, we advise anyone who downloaded Transmission v2.92 between August 28th and August 29th, 2016, inclusively, to verify if their system is compromised by testing the presence of any of the following file or directory:

/Applications/Transmission.app/Contents/Resources/License.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
$HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
$HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
$HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
/Library/Application Support/com.apple.iCloud.sync.daemon/
$HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

If any of them exists, it means the malicious Transmission application was executed and that Keydnap is most likely running. Also note that the malicious disk image was named Transmission2.92.dmg while the legitimate one is Transmission-2.92.dmg (notice the hyphen).

[Reactie gewijzigd door NotSoSteady op 30 augustus 2016 18:09]

629110
@NotSoSteady30 augustus 2016 19:24
Het is voor mij over met transmission. Hij gaat eraf.
Moet ik nou elke keer controleren met de hand welke versie ik heb, hoe ik er aan kom. etc. etc.
Blizz
@62911030 augustus 2016 19:31
Heb je het de afgelopen drie dagen handmatig gedownload? Nee? Dan heb je geen probleem.
Macfreak101
@Blizz30 augustus 2016 19:47
Mijn versie is 2.92 (de geïnfecteerde). Echter is het zo dat Transmission al sinds 2 jaar geleden op mijn computer staat. Ik update dus zonder van de website te downloaden. Is er dan niets aan de hand?

Mvg
Pizzalucht
@Macfreak10130 augustus 2016 19:59
Het is niet dat versie v2.92 geïnfecteerd is. De download van v2.92 is een paar dagen lang geïnfecteerd geweest. Maar het kan dus heel goed zijn dat je gewoon een schone v2.92 hebt (de kans op een schone v2.92 is veel groter dan een geïnfecteerde).

Als je het zeker wilt weten moet je even de instructies van NotSoSteady hierboven volgen.
Whatson
@62911030 augustus 2016 22:05
Ik zit nog steeds op 2.84 niks aan de hand als je niet automatisch update
computergek80
@Whatson1 september 2016 08:30
Dat zou nou juist de kans op malware vergroten. Dan ga je namelijk de nieuwe versie van de site halen, en het lijkt alsof dat de enige is die geinfecteerd is.
Shark.Bait
@Anoniem: 6643130 augustus 2016 18:55
Ik ben bang (nou ja, ik ben niet echt bang) dat ik je hoop de grond in moet boren. Apple heeft het laatste kwartaal slecht gedraaid, 'slechts' 7,8 miljard dollar winst (dit was vorig jaar 10 miljard). Deze boete, waartegen ze in hoger beroep gaan en niets te maken heeft met dit newsitem, kunnen ze met 2 kwartaalafschrijvingen makkelijk betalen.

[Reactie gewijzigd door Shark.Bait op 30 augustus 2016 23:17]

DigitalExorcist
@Anoniem: 6643130 augustus 2016 21:55
Apple heeft echt wel een "potje" voor dit soort uitgaven. Misschien niet het hele bedrag, maar het kapitaal is er wel.
robvanwijk
@Anoniem: 6643131 augustus 2016 00:06
Dat is geen netto winst
Dat hun netto winst meer dan 99% van hun bruto winst is (waardoor Shark.Bait's punt gewoon hartstikke geldig is), was nou juist de belangrijkste reden waarom ze die boete "aanmaning voor achterstallige betaling" gekregen hebben.
z1rconium
@Anoniem: 6643131 augustus 2016 02:18
200+ miljard staat er nog ergens op een rekening. Plus dat ze nog in beroep gaan, bedrag gaat naar beneden, mark my words.
NanoSector
@Anoniem: 6643130 augustus 2016 17:57
Alleen de App Store kan apps automatisch updaten. Dus apps daarbuiten niet. Veel apps controleren bij het opstarten of er updates zijn en vragen dan de gebruiker wat ze moeten doen.
Erulezz
@NanoSector30 augustus 2016 17:58
Apps die gebruik maken van het Sparkle-updater framework (en dat zijn er veel) kunnen deze optie wel aanbieden ;) Volgens mij niet helemaal automatisch maar als de gebruiker een update melding krijgt dan is er de optie om dit voortaan automatisch te doen.

[Reactie gewijzigd door Erulezz op 30 augustus 2016 17:59]

Blizz
@Erulezz30 augustus 2016 18:04
Volgens mij heb ik al letterlijk honderden keren aangegeven bij apps die dit ondersteunen om automatisch te updaten, maar blijven ze dat altijd vragen. :)
NanoSector
@Erulezz30 augustus 2016 20:12
Oh, dit heb ik nog niet zelf voorbij zien komen. Het is altijd "Herinner mij later", "Annuleren", of "Nu installeren" bij de applicaties die ik gebruik. Misschien dat het iets nieuws is wat ik nog niet gezien heb, in ieder geval dank voor de tip :)
Anoniem: 66431
@NanoSector30 augustus 2016 18:26
Dat dacht ik ook... Maar mijn klanten (de meeste reguliere gebruikers) drukken natuurlijk op YES update.
xoniq
@Anoniem: 6643130 augustus 2016 18:47
Bijna iedereen wel, bij software die van een legitieme ontwikkelaar komt.
rotterdams
@xoniq31 augustus 2016 07:30
Loze toevoeging " bij software die van een legitieme ontwikkelaar komt " .

Als je de software niet genoeg vertrouwd om hem te updaten, mag ik hopen dat hij uberhaubt niet op je systeem staat :)
xoniq
@rotterdams31 augustus 2016 08:52
Niet helemaal juist;

Als ik een applicatie gebruik, van een onbekende ontwikkelaar, maar die doet wat ie moet doen, dan ga ik deze niet zomaar updaten. Deze doet immers wat ie moet doen, en wie weet wat er naderhand in gestopt wordt.

Bij bekendere ontwikkelaars doe je dat toch sneller.
rotterdams
@xoniq21 september 2016 08:00
Wie weet wat er naderhand in gestopt wordt > daar weet je exact evenveel over, als over de versie 1.0 die je wel geinstalleerd hebt natuurlijk.

Dus blijf ik erbij dat het een loze toevoeging was :)
WhatsappHack
@Anoniem: 6643130 augustus 2016 17:56
Hadden ze die functie er niet uitgesloopt na het vorige gelazer?
MD_DeeBee
30 augustus 2016 19:11
hm, vervelend, 2x redelijk kort achter elkaar.

Iemand toevallig ervaring met qBittorrent voor de mac?....als (tijdelijke) vervanger
dj__jg
@MD_DeeBee30 augustus 2016 20:50
Voor windows werkt het iig goed, Mac heb ik (volgensmij) geen ervaring mee. Heb nog een macje staan voor commandline en android ADB werk (dat gaat gewoon fijner op een stabiele *nix machine dan op m'n windows bak), daar heb ik Transmission op, maar aangezien ik die nauwelijks op start en iig niet handmatig op start zal dat wel goed zitten hoop ik. Straks maar even controleren.
Jeroen2611
@MD_DeeBee30 augustus 2016 23:24
Ik gebruik al twee jaar qBittorent op macOS en Windows.
Het werkt vlot, zit geen reclame in en het belangrijkste: (tot op heden) geen virussen! :)
Harry21
@Jeroen261131 augustus 2016 18:17
Mijn win 10 scanner sloeg op tilt bij installatie (trojan).
MacWolf
@MD_DeeBee31 augustus 2016 02:10
Ik gebruik uTorrent en daar zie ik niet direct problemen mee.
danielik
@MacWolf31 augustus 2016 04:23
Ik toch al jaren wel, dat is bloatware nummer een. Qbittorrent is daar het goede alternatief voor.
knightofn1
@MacWolf31 augustus 2016 08:23
nou het schijnt dat de MPAA (Motion Picture Association of America)
de client heeft gekocht. Daar zie ik wel problemen in ;)
Stevie-P
@MacWolf31 augustus 2016 09:22
geen problemen met uTorrent?! Zij hadden bewust een bitcoin miner in hun software zitten! Ik zou die software ten alle koste vermijden.
nieuws: Nieuwe versie µTorrent levert cryptocoin-miner mee

Deluge of Transmission zijn goede open source alternatieven. Al moet je blijkbaar wel uitkijken wanneer je compiled versies download...

[Reactie gewijzigd door Stevie-P op 31 augustus 2016 09:23]

DaemonAngel
@MacWolf31 augustus 2016 10:16
Ik had deze ook maar aan de reacties te zien is het dus best over te schakelen naar Qbittorrent?
Of zie ik dit fout?

Ben benieuwd naar wat reacties welke dan de beste is voor Mac dan momenteel.

Transmission had ik gelukkig niet en eigenlijk gebruik ik mijn keychain toch niet voor belangrijke zaken dus zoveel had dit niet uitgemaakt.
mvd64
@DaemonAngel31 augustus 2016 11:36
Ik gebruik qBittorrent op Windows, na jaren uT en een test met Transmission. qB werkt gewoon prima. Probeer het gewoon eens uit. Als je het niks vindt, kan je altijd iets anders zoeken.
Erulezz
30 augustus 2016 18:00
Is het noodzakelijk om bij de installatie je admin wachtwoord in te voeren? Dacht van niet.. Anders verbaast het me wel dat er zo makkelijk gegevens uit de keychain gehaald kunnen worden.
xoniq
@Erulezz30 augustus 2016 18:49
Goed punt. Als ik zelf wat uit MIJN keychain wil trekken moet ik bij elke actie m'n wachtwoord invoeren.
rotterdams
@Erulezz31 augustus 2016 07:32
Keychain is per user, en er is dus soms wel vereist dat je je normale user password invoert, maar er komt geen admin aan te pas.

Denk aan de webforms die automatisch voor je ingevuld worden met username en password. Een malware spoofed richting jouw keychain software de gewenste website, en jouw keychain vult dolenthousiast de bij hem bekende username/password combinatie in. Malware 1, keychain 0.
Jrz
30 augustus 2016 18:32
Hoe kan je zien of jouw versie kwetsbaar is?
Jester-NL
@Jrz30 augustus 2016 19:34
Kijk nog eens naat deze post:
NotSoSteady in 'nieuws: Mac-versie Transmission bevatte voor de tweede keer m...
johnkeates
30 augustus 2016 17:51
Raar dat een public-facing service dus blijkbaar ook de signing van Transmission doet, op die manier wordt het wel heel makkelijk om malware aan gebruikers te voeren. Waarschijnlijk zou het wel gemeld worden door BlockBlock, DHS of "RansomWhere?" (zie https://objective-see.com/products.html) als de meegeleverde malware met dylib-preloading werkt, een service probeert te installeren of vaak massale FS-calls maakt. De meeste malware doet dat om dat het toegang probeert te krijgen, of op z'n minst persistence wil verkrijgen.
Barisko
30 augustus 2016 22:04
Hoe is de malware weer te verwijderen?
ChristopheS
@Barisko31 augustus 2016 09:31
AppTrap instaleren > Applicatie naar Trash slepen > de pop up van AppTrap "KEEP FILES" & "MOVE FILES" kiezen > AppTrap gaat libraries en andere shit in het systeem gelinkt aan de Applicatie naar Trash verplaatsen.

Trash legen, herstarten.
SpoekGTi
30 augustus 2016 17:52
Screw up one time its your fault, screw up another time its my fault.
lazershark
@SpoekGTi30 augustus 2016 20:06
Vind ik niet. Je mag toch verwachten dat als je software van de officiële site van de ontwikkelaar download, dit vrij is van malware. Zeker als het al 1 keer gebeurd is verwacht je dat ze hun voorzorgen hebben genomen.

Dat is ook de reden dat ik software altijd van de ontwikkelaar download, en nooit van third party websites. Bij derden weet je ook nooit of er niet mee is geknoeid.
Petzl
30 augustus 2016 20:48
Hoe groot is de kans dat deze mallware bewust in transmission zit ?

ik kan mij perfect inbeelden dat de NSA hier 200.000 euro voor over heeft.
en voor een ontwikkelaar van gratis software is dat mooi meegenomen.
Viince1
@Petzl30 augustus 2016 21:49
Vrij groot. De ontwikkelaars hebben niet 'per ongeluk' een stuk malware gecodeerd in Transmission. Dit is een bewuste actie geweest van een partij.

De kans dat NSA erbij betrokken is geweest is echter klein. Totaal niet hun profiel, en deze aanval biedt de NSA geen enkele controle (ze kunnen niet voorspellen of doelwit transmission de komende dagen gaat downloaden). Eerder het werk van hackers, die geld kunnen scoren met gebruikersnamen en wachtwoorden (internetbankieren, licentiecodes uit email, persoonsgegevens doorverkopen voor identiteitsfraude, hopen op creditcards, etc).
xiphoid
30 augustus 2016 20:54
Ik lees dit gewoon als: Ze zullen er zelf wel achter zitten. Transmission is nu gewoon een blacklist item wat mij betreft. Next..

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee