Весной 2016 года эксперты Palo Alto Networks заметили, что неизвестные злоумышленники скомпрометировали сайт опенсорсного торрент-клиента Transmission. Тогда хакеры подменили легитимную версию приложения на собственную сборку, в составе которой исследователи нашли первый работающий шифровальщик для macOS (тогда еще OS X), KeRanger. Как ни странно, ситуация повторяется: специалисты компании ESET предупреждают, что Transmission снова используется для доставки «яблочной» малвари.
Еще в июле 2016 года исследователи ESET предупредили о появлении новой малвари для macOS. Угроза получила название OSX/Keydnap, она не только устанавливает в зараженной системе стойкий бэкдор, но также способна похищать данные из связки ключей (keychain).
В июле исследователи писали, что механизмы распространения малвари пока проследить не удалось, но предполагалось, что Keydnap распространяется посредством обычного спама. Как оказалось, специалисты ошиблись, и помимо спама малварь использовала для распространения легитимный сайт.
Эксперты ESET предупреждают, что неизвестные злоумышленники снова скомпрометировали сайт Transmission и подменили приложение вредоносной версией. Аналитики ESET предполагают, что малварь распространялась в составе Transmission v2.92 в период с 28 по 29 августа 2016 года. Стот учитывать, что указанный отрезок времени – это лишь предположение, точных данных у специалистов пока нет. Пользователи, которым не повезло недавно скачать и установить Transmission, могут проверить свою систему на предмет заражения, все отличительные признаки угрозы перечислены в блоге ESET.
Также исследователи пишут, что KeRanger и Keydnap во многом похожи, в частности, оба приложения были подписаны легитимными сертификатами, что и позволило им обойти Gatekeeper. Кроме того исследователи обнаружили сходство в исходных кодах вредоносов.
Вредоносная версия Transmission уже удалена с официального сайта, а разработчики проводят расследование, пытаясь разобраться, как злоумышленники сумели скомпрометировать ресурс на этот раз.