Úgy tűnik, az utóbbi időben rájár a rúd a népszerű Transmission torrentkliensre, ugyanis néhány hónappal azután, hogy zsarolóvírust találtak a szoftverben, most újabb botrányba keveredtek. A Transmission macOS-re szánt változata ezúttal jelszólopó kártevőt terjesztett – méghozzá a hivatalos weboldalon.
Az OSX/Keydnap nevéből adódóan az Apple asztali operációs rendszerét célozza. Az ESET kutatói szerint a malware a jelszavak kiszivárogtatása mellett egy hátsókaput is épít a rendszerbe, hogy a támadók távolról is irányíthassák a fertőzött gépet.
Azok a felhasználók, akik a múlt hétvégén, vagy most hétfőn töltötték le a Transmission macOS-re szánt változatát, keressenek rá a következő fájlokra:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Ha bármelyik fájl létezik, az azt jelenti, hogy a kártevő áldozatául estek. Amúgy a fertőzött telepítő fájlneve Transmission2.92.dmg, kötőjel nélkül – míg az igazi Transmission-2.92.dmg
A Keydnap amúgy feltűnően hasonlít a Palo Alto Networks által még márciusban felfedezett, szintén a Transmission által terjesztett KeRanger zsarolóvírusra – legalábbis a két kártevő forráskódjában számos egyezés felfedezhető.