Mellékleteink: HUP | Gamekapocs
Keres

Népszerű torrentklienssel érkezett az első OS X-es ransomware

Hlács Ferenc, 2016. március 07. 12:05

Az OS X sem mentes többé a ransomware-ektől: ismeretlen támadók a Transmission torrentkliens telepítőjét fertőzték meg zsarolószoftverrel.

Már az OS X felhasználók sincsenek teljes biztonságban a titkosító-zsaroló szoftverek elől, az első ilyen kártevő immár az Apple platformjára is utat talált. A ransomware-ek az online bűnözők körében különösen az elmúlt egy-két évben lettek népszerűek, elsősorban a Windowst futtató gépeket célzó támadások során - a hasonló kártevők ugyanakkor már az androidos telefonokat is fenyegetik.

A KeRanger névre hallgató ransomware-t a Palo Alto Networks biztonsági szakértői fedezték fel, akik szerint ez az első, OS X-re készült, teljes értékű zsarolószoftver. A kártevő három nappal a telepítést követően titkosítja a fertőzött gépen tárolt adatokat, amelyeket csak 1 bitcoin - jelenlegi árfolyamon nagyjából 407 dollár - ellenében ad vissza a felhasználónak. A malware mindezek mellett a felhasználók Time Machine-ban tárolt biztonsági mentéseinek titkosítását is megkísérli, hogy innen se legyen mód visszaállítani a rendszert.

A KeRanger által jelentett veszélyt tetézi, hogy a kártevő nem különböző, kétes hitelességű oldalak még gyanúsabb hirdetéseire kattintva terjed, hanem a platform egyik népszerű torrentalkalmazásával, a Transmissionnal jutott el a Macekre - a szoftver hivatalos weboldaláról. A torrentkliens felhasználói a hétvégén jelezték először a problémát, mint kiderült, a támadóknak a szoftver 2.90-es verzióját sikerült megfertőzniük a kártevővel, a fertőzött klienst pedig a Transmission hivatalos oldaláról terjesztették.

Sokaknál még nem késő lépni

Egyelőre nem tisztázott, hogy a bűnözőknek hogyan sikerült eljuttatniuk a fertőzött programot a kliens hivatalos webhelyére. A KeRangert mindenesetre, miután egy hiteles fejlesztői aláírás alatt utazott, az Apple Gatekeeper biztonsági szoftvere sem állította meg. A cupertinói cég szoftveres sorompója egyébként sem a legfélelmetesebb biztonsági őr: ahogy arról idén januárban beszámoltunk, az Apple több mint négy hónapon keresztül képtelen volt befoltozni egy sebezhetőséget, amely triviálissá tette a Gatekeeper megkerülését a támadók számára.

Szerencsére a Transmission csapata viszonylag gyorsan reagált az eseményekre, röviddel azután, hogy az esetre fény derült, üzenetet tett közzé weboldalán, amelyben minden felhasználóját arra figyelmeztette, azonnal frissítse a szoftvert a 2.91-es verzióra, vagy törölje a 2.90-es változatot, miután azzal jó eséllyel fertőzött fájlt töltöttek le. Szerencsére a kártevő háromnapos késleltetése a legtöbbeknek elég időt ad rá, hogy még a titkosítás élesedése előtt megszabaduljanak a malware-től. A torrentkliens felhasználóinak tehát nem érdemes habozni, aki teheti késlekedés nélkül frissítsen az újabb verzióra - vagy ha a történtek után megingott volna a bizalma a Transmission csapatában, törölje azt és váltson egy alternatív kliensre.

Miután a Palo Alto Network jelezte az esetet az Apple felé, a vállalt visszavonta a kompromittált digitális aláírást, illetve mára a torrentkliens oldaláról is eltávolították a fertőzött telepítőket. Egyelőre nem tudni, pontosan hány eszközre jutott el a kártevő.