Первый известный троян-вымогатель в официальном Transmission для OS X

Трояны-вымогатели, плотно освоившись на платформах Windows и Android, переходят и на OS X. В официальной версии торрент-клиента Transmission, доступной на официальном сайте (уже нет), обнаружили OSX.KeRanger.A.

Первый известный троян-вымогатель в официальном Transmission для OS X

Первые троян заметили российские пользователи, подняв тревогу 5 марта на официальном форуме клиента.

Троян в клиенте — не проделки разработчиков, установщик подписан сторонним ключом, что указывает на взлом сайта разработчиков Transmission. Хакеры использовали действующий сертификат Apple Developer (который уже аннулирован), поэтому Gatekeeper в OS X не смог защитить пользователей.

ID сертификата злоумышленников — «POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)».

Первый известный троян-вымогатель в официальном Transmission для OS X

6 марта специалисты по безопасности из Palo Alto Networks опубликовали отчёт по данной ситуации. Заражение DMG-установщиков произошло 4 марта, в 14:00 по Москве, а распространение трояна проходило вплоть до 5 марта, до 10 часов вечера.

Занимательно, что OSX.KeRanger.A — первый «полноценный» и рабочий троян-вымогатель для OS X. После установки Transmission он помещается в /Users/Логин_Пользователя/Library/kernel_service с названием General.rtf и ждёт 3 суток, пингуя каждые 5 минут управляющий сервер через TOR.

Через 3 суток троян шифрует документы 300 заданых форматов, после чего требуя у пользователя 1 биткоин за расшифровку. Отправлять просит на вот этот кошелёк: 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof.

Первый известный троян-вымогатель в официальном Transmission для OS X

Троян, на момент вшивания в Transmission, находился в статусе разработки. В коде есть неиспользуемые функции под названиями _create_tcp_socket, _execute_cmd и _encrypt_timemachine.

Первый известный троян-вымогатель в официальном Transmission для OS X

Кончилось всё хорошо. Сертификат злоумышленников отозван, заражённые файлы удалены, плюс вышла новая версия Transmission 2.92, которая проверяет компьютер на заражение трояном.