Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Submitter: MrTre

De officiŽle versie van bittorrent-client Transmission voor OS X is voor de tweede keer besmet met kwaadaardige code. Dit keer zijn gebruikers geÔnfecteerd met de Keydnap-malware, die gegevens uit de keychain steelt. Vermoedelijk was de malware op 28 en 29 augustus aanwezig.

Beveiligingsbedrijf ESET ontdekte de aanwezigheid van Keydnap in Transmission v2.92 en heeft de makers van de software ingelicht. Volgens de onderzoekers is de bittorrent-client daarop direct vervangen door een schone versie, maar de besmette client zou op 28 en 29 augustus online hebben gestaan. Transmission heeft nog niet gereageerd op het voorval en de website is op het moment van schrijven offline.

De Keydnap-malware die aanwezig was in de software, werd in begin juli ontdekt door ESET. De malware kan gebruikt worden voor het stelen van wachtwoorden gegevens uit de keychain en fungeert als backdoor. Destijds bestond er nog onduidelijkheid over hoe de malware verspreid werd.

Het is de tweede keer dat de Mac-versie van Transmission malware bevatte. In maart bleek dat versie 2.90 van de app met de ransomware KeRanger was besmet. Destijds werd de besmette software door 6500 mensen gedownload.

Hoe de aanvallers toegang hebben gekregen tot de webserver van Transmission en op die manier een gesigneerde versie van de app konden besmetten met hun malware, is nog niet duidelijk. De ontwikkelaar zei na het eerste voorval met details over de aanval te komen, maar dat is tot op heden niet gebeurd.

Moderatie-faq Wijzig weergave

Reacties (47)

Vreemd... Weet iemand hier of de software in Mac omgeving zichzelf automatisch kon updaten? Ik heb namelijk deze app bij een paar oude klanten erop gehad maar weet niet zeker of ik deze er na gebruik ook weer af heb gehaald. En zo dus de klanten heb blootgesteld.

Met name vraag ik me dit af over de eerste malware DETECTIE en niet zozeer over de opvolgende. Ook omdat het maar om twee dagen besmetting lijkt te gaan.

Zover ik me herinner update deze niet... Maar het is al zo lang geleden...
Ik denk dat het alleen om nieuwe downloads gaat, volgens mij is versie v2.92 al eerder uitgebracht.

Edit:
Het gaat dus alleen om nieuwe downloads, want ik heb Transmission enige tijd geleden al gedownload en ook dat is versie 2.92. Deze versie bevat geen sporen van malware (gelukkig maar).
Thus, we advise anyone who downloaded Transmission v2.92 between August 28th and August 29th, 2016, inclusively, to verify if their system is compromised by testing the presence of any of the following file or directory:

/Applications/Transmission.app/Contents/Resources/License.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
$HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
$HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
$HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
/Library/Application Support/com.apple.iCloud.sync.daemon/
$HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

If any of them exists, it means the malicious Transmission application was executed and that Keydnap is most likely running. Also note that the malicious disk image was named Transmission2.92.dmg while the legitimate one is Transmission-2.92.dmg (notice the hyphen).

[Reactie gewijzigd door NotSoSteady op 30 augustus 2016 18:09]

Het is voor mij over met transmission. Hij gaat eraf.
Moet ik nou elke keer controleren met de hand welke versie ik heb, hoe ik er aan kom. etc. etc.
Heb je het de afgelopen drie dagen handmatig gedownload? Nee? Dan heb je geen probleem.
Mijn versie is 2.92 (de geÔnfecteerde). Echter is het zo dat Transmission al sinds 2 jaar geleden op mijn computer staat. Ik update dus zonder van de website te downloaden. Is er dan niets aan de hand?

Mvg
Het is niet dat versie v2.92 geÔnfecteerd is. De download van v2.92 is een paar dagen lang geÔnfecteerd geweest. Maar het kan dus heel goed zijn dat je gewoon een schone v2.92 hebt (de kans op een schone v2.92 is veel groter dan een geÔnfecteerde).

Als je het zeker wilt weten moet je even de instructies van NotSoSteady hierboven volgen.
Ik zit nog steeds op 2.84 niks aan de hand als je niet automatisch update
Dat zou nou juist de kans op malware vergroten. Dan ga je namelijk de nieuwe versie van de site halen, en het lijkt alsof dat de enige is die geinfecteerd is.
Ik ben bang (nou ja, ik ben niet echt bang) dat ik je hoop de grond in moet boren. Apple heeft het laatste kwartaal slecht gedraaid, 'slechts' 7,8 miljard dollar winst (dit was vorig jaar 10 miljard). Deze boete, waartegen ze in hoger beroep gaan en niets te maken heeft met dit newsitem, kunnen ze met 2 kwartaalafschrijvingen makkelijk betalen.

[Reactie gewijzigd door Shark.Bait op 30 augustus 2016 23:17]

Apple heeft echt wel een "potje" voor dit soort uitgaven. Misschien niet het hele bedrag, maar het kapitaal is er wel.
Dat is geen netto winst
Dat hun netto winst meer dan 99% van hun bruto winst is (waardoor Shark.Bait's punt gewoon hartstikke geldig is), was nou juist de belangrijkste reden waarom ze die boete "aanmaning voor achterstallige betaling" gekregen hebben.
200+ miljard staat er nog ergens op een rekening. Plus dat ze nog in beroep gaan, bedrag gaat naar beneden, mark my words.
Alleen de App Store kan apps automatisch updaten. Dus apps daarbuiten niet. Veel apps controleren bij het opstarten of er updates zijn en vragen dan de gebruiker wat ze moeten doen.
Apps die gebruik maken van het Sparkle-updater framework (en dat zijn er veel) kunnen deze optie wel aanbieden ;) Volgens mij niet helemaal automatisch maar als de gebruiker een update melding krijgt dan is er de optie om dit voortaan automatisch te doen.

[Reactie gewijzigd door Erulezz op 30 augustus 2016 17:59]

Volgens mij heb ik al letterlijk honderden keren aangegeven bij apps die dit ondersteunen om automatisch te updaten, maar blijven ze dat altijd vragen. :)
Oh, dit heb ik nog niet zelf voorbij zien komen. Het is altijd "Herinner mij later", "Annuleren", of "Nu installeren" bij de applicaties die ik gebruik. Misschien dat het iets nieuws is wat ik nog niet gezien heb, in ieder geval dank voor de tip :)
Dat dacht ik ook... Maar mijn klanten (de meeste reguliere gebruikers) drukken natuurlijk op YES update.
Bijna iedereen wel, bij software die van een legitieme ontwikkelaar komt.
Loze toevoeging " bij software die van een legitieme ontwikkelaar komt " .

Als je de software niet genoeg vertrouwd om hem te updaten, mag ik hopen dat hij uberhaubt niet op je systeem staat :)
Niet helemaal juist;

Als ik een applicatie gebruik, van een onbekende ontwikkelaar, maar die doet wat ie moet doen, dan ga ik deze niet zomaar updaten. Deze doet immers wat ie moet doen, en wie weet wat er naderhand in gestopt wordt.

Bij bekendere ontwikkelaars doe je dat toch sneller.
Wie weet wat er naderhand in gestopt wordt > daar weet je exact evenveel over, als over de versie 1.0 die je wel geinstalleerd hebt natuurlijk.

Dus blijf ik erbij dat het een loze toevoeging was :)
Hadden ze die functie er niet uitgesloopt na het vorige gelazer?
hm, vervelend, 2x redelijk kort achter elkaar.

Iemand toevallig ervaring met qBittorrent voor de mac?....als (tijdelijke) vervanger
Voor windows werkt het iig goed, Mac heb ik (volgensmij) geen ervaring mee. Heb nog een macje staan voor commandline en android ADB werk (dat gaat gewoon fijner op een stabiele *nix machine dan op m'n windows bak), daar heb ik Transmission op, maar aangezien ik die nauwelijks op start en iig niet handmatig op start zal dat wel goed zitten hoop ik. Straks maar even controleren.
Ik gebruik al twee jaar qBittorent op macOS en Windows.
Het werkt vlot, zit geen reclame in en het belangrijkste: (tot op heden) geen virussen! :)
Mijn win 10 scanner sloeg op tilt bij installatie (trojan).
Ik gebruik uTorrent en daar zie ik niet direct problemen mee.
Ik toch al jaren wel, dat is bloatware nummer een. Qbittorrent is daar het goede alternatief voor.
nou het schijnt dat de MPAA (Motion Picture Association of America)
de client heeft gekocht. Daar zie ik wel problemen in ;)
geen problemen met uTorrent?! Zij hadden bewust een bitcoin miner in hun software zitten! Ik zou die software ten alle koste vermijden.
nieuws: Nieuwe versie ĶTorrent levert cryptocoin-miner mee

Deluge of Transmission zijn goede open source alternatieven. Al moet je blijkbaar wel uitkijken wanneer je compiled versies download...

[Reactie gewijzigd door Stevie-P op 31 augustus 2016 09:23]

Ik had deze ook maar aan de reacties te zien is het dus best over te schakelen naar Qbittorrent?
Of zie ik dit fout?

Ben benieuwd naar wat reacties welke dan de beste is voor Mac dan momenteel.

Transmission had ik gelukkig niet en eigenlijk gebruik ik mijn keychain toch niet voor belangrijke zaken dus zoveel had dit niet uitgemaakt.
Ik gebruik qBittorrent op Windows, na jaren uT en een test met Transmission. qB werkt gewoon prima. Probeer het gewoon eens uit. Als je het niks vindt, kan je altijd iets anders zoeken.
Is het noodzakelijk om bij de installatie je admin wachtwoord in te voeren? Dacht van niet.. Anders verbaast het me wel dat er zo makkelijk gegevens uit de keychain gehaald kunnen worden.
Goed punt. Als ik zelf wat uit MIJN keychain wil trekken moet ik bij elke actie m'n wachtwoord invoeren.
Keychain is per user, en er is dus soms wel vereist dat je je normale user password invoert, maar er komt geen admin aan te pas.

Denk aan de webforms die automatisch voor je ingevuld worden met username en password. Een malware spoofed richting jouw keychain software de gewenste website, en jouw keychain vult dolenthousiast de bij hem bekende username/password combinatie in. Malware 1, keychain 0.
Raar dat een public-facing service dus blijkbaar ook de signing van Transmission doet, op die manier wordt het wel heel makkelijk om malware aan gebruikers te voeren. Waarschijnlijk zou het wel gemeld worden door BlockBlock, DHS of "RansomWhere?" (zie https://objective-see.com/products.html) als de meegeleverde malware met dylib-preloading werkt, een service probeert te installeren of vaak massale FS-calls maakt. De meeste malware doet dat om dat het toegang probeert te krijgen, of op z'n minst persistence wil verkrijgen.
Hoe is de malware weer te verwijderen?
AppTrap instaleren > Applicatie naar Trash slepen > de pop up van AppTrap "KEEP FILES" & "MOVE FILES" kiezen > AppTrap gaat libraries en andere shit in het systeem gelinkt aan de Applicatie naar Trash verplaatsen.

Trash legen, herstarten.
Screw up one time its your fault, screw up another time its my fault.
Vind ik niet. Je mag toch verwachten dat als je software van de officiŽle site van de ontwikkelaar download, dit vrij is van malware. Zeker als het al 1 keer gebeurd is verwacht je dat ze hun voorzorgen hebben genomen.

Dat is ook de reden dat ik software altijd van de ontwikkelaar download, en nooit van third party websites. Bij derden weet je ook nooit of er niet mee is geknoeid.
Hoe groot is de kans dat deze mallware bewust in transmission zit ?

ik kan mij perfect inbeelden dat de NSA hier 200.000 euro voor over heeft.
en voor een ontwikkelaar van gratis software is dat mooi meegenomen.
Vrij groot. De ontwikkelaars hebben niet 'per ongeluk' een stuk malware gecodeerd in Transmission. Dit is een bewuste actie geweest van een partij.

De kans dat NSA erbij betrokken is geweest is echter klein. Totaal niet hun profiel, en deze aanval biedt de NSA geen enkele controle (ze kunnen niet voorspellen of doelwit transmission de komende dagen gaat downloaden). Eerder het werk van hackers, die geld kunnen scoren met gebruikersnamen en wachtwoorden (internetbankieren, licentiecodes uit email, persoonsgegevens doorverkopen voor identiteitsfraude, hopen op creditcards, etc).
Ik lees dit gewoon als: Ze zullen er zelf wel achter zitten. Transmission is nu gewoon een blacklist item wat mij betreft. Next..


Om te kunnen reageren moet je ingelogd zijn



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True