Mac: Transmission besmet met malware

Door: Raymon Mens - 23 reacties

De populaire torrent-app Transmission kreeg vorige week na lange tijd weer een update naar versie 2.90. Nu blijkt echter dat deze update malware bevat, de ontwikkelaar roept gebruikers op om de app onmiddellijk te updaten naar versie 2.92.

Transmission bevatte malware die bekend staat als ‘OSX.KeRanger.A’. Het is de eerste vorm van ransomware voor OS X die bestanden versleutelt en pas na betaling van digitaal ‘losgeld’ weer vrijgeeft.

De malware werd alleen verspreid via de website van Transmission zelf, gebruikers die vorige week door middel van de automatische update naar versie 2.90 zijn bijgewerkt, zouden niet besmet moeten zijn. Toch kan het geen kwaad om je Mac te checken.

Check je Mac

De ontwikkelaar adviseert gebruikers van Transmission activiteitenweergave op te starten en te zoeken naar een proces dat kernel_service heet. Als dit aanwezig is, dubbelklik je erop en gaat naar het tabblad Open bestanden en poorten. Daar is de locatie van de malware te vinden, meestal ‘/Users/Library/kernel_service‘. Verwijder het bestand en stop het proces door in activiteitenweergave op ‘Stop’ te klikken.

transmission
Update-melding Transmission.

Ransomware

Beveiligingsonderzoekers van Palo Alto Networks vertellen aan Reuters dat ‘OSX.KeRanger.A’ ransomware is. Deze kwaadaardige software versleutelt bestanden en geeft pas deze na betaling weer vrij. De malware zou na drie dagen actief worden. Het is vooralsnog onbekend hoe de malware in de applicatie terecht is gekomen, maar een extra back-up maken als het kernel_service proces op je Mac draaide is geen overbodige luxe.

Update: Palo Alto Networks heeft een blogpost met technische details gepubliceerd.
Update 2: Transmission 2.92 vrijgegeven, dit verwijdert de malware actief.

Reacties

23 reacties
  • Profielfoto
    tjerk

    Dank voor de heads-up!

  • Profielfoto
    Floris

    ALS ik dit zou hebben, zou dat dan kunnen worden gevonden door Malwarebytes Anti-Malware?

  • Profielfoto
    no_poo

    Gebruik het programma al een tijdje niet meer, maar het staat er nog wel op. Maar eens verwijderen dan, balen voor ontwikkelaars ook trouwens (maar meer voor de slachtoffers van de malware natuurlijk…).

  • Profielfoto
    Hymdall

    Apparently it only affects users who downloaded it off of the website and not those who used the in app update. @ http://www.macrumors.com

  • Profielfoto
    BomC

    Op MacRumors wordt vermeld dat Transmission op 4 maart is geïnfecteerd. Als je daarvoor hebt gedownload of als je hebt geupdate via de in-app update is alles in orde.

  • Profielfoto
    Shmoo

    Ik heb Dropbox even tijdelijk tot maandag offline gehaald voor de zekerheid. Ik heb op vrijdag een cd gedownload en toen ge-update naar deze versie.
    Als mijn Mac maandag op slot gaat dan heb ik tenminste al mijn bestanden nog.

  • Profielfoto
    in absentia

    Ondertussen is er ook al een upgrade naar 2.92.
    /uploads/community/74ed894aad9ad4e09dc5433a60e5ff7b2a413e29_26755.png

  • Profielfoto
    dvischjager

    Ik heb nog nooit Transmission gedownload, maar kan dat nu zonder zorgen?

  • Profielfoto
    Shmoo

    Ja zolang je download van de officiële bron en versie 2.9.2.
    .
    Dit is echt een uniek geval, deze software is normaal ( zolang dat ik al een Mac gebruik ) gewoon dik vet solide geweest.
    Het is waarschijnlijk het meest gebruikte Torrent programma voor de Mac. En niet voor niets.

  • Profielfoto
    EagerB0bNerd

    “Ik heb op vrijdag een cd gedownload en toen ge-update naar deze versie.”

    @Shmoo: Onder “How to protect yourself” staat hoe je kan checken of je de malware hebt en hoe je het kan verwijderen:
    http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

  • Profielfoto
    Facundo

    Als zoiets kan gebeuren bij deze developers vind ik dat zeer verontrustend.

  • Profielfoto
    Soulshaker

    En dan vraag je jezelf af, wie plaatste deze malware ?
    Mensen die malware willen verspreiden doen dit met de bestanden zelf om ze zo via torrents te verspreiden. Dan val je niet het medium aan die je bestanden verspreid.

    Toch iets om over na te denken;)

  • Profielfoto
    defores

    Meteen een reden om dit soort software nooit te gebruiken.
    Malware in je eigen ontwikkelde release software?(n)

    Dat is er iets ernstig fout met de workflow

  • Profielfoto
    Night

    Versie 2.9.2 verschilt in niets met versie 2.9.1, behalve dat er door de installer gelijk gekeken wordt of de ransomware op je Mac staat en als dat zo is, wordt deze direct verwijderd.

    Het is dus wel zo handig gelijk te updaten naar de 2.9.2 versie. Dat kan gewoon via ‘Check for update’ binnen Transmission zelf.

  • Profielfoto
    Facundo

    Wie hierin een reden denkt te hebben om “dit soort software” niet te gebruiken moet toch even de sites van PaloAltoNetworks en ArsTechnica raadplegen. Dit kan namelijk gebeuren met elk soort software, waarvan de site is gehacked.

    Maar misschien heeft Tim Kuik dit wel geflikt. Die is immers altijd op zoek naar een paar extra grijpstuivers.;-)

  • Profielfoto
    SolidCake

    De KeRanger applicatie is getekend met een goedgekeurd Apple Certificate. Hierdoor wist het voorbij de Gatekeeper te komen via Transmission. Apple heeft ondertussen het goedgekeurde certificaat vernietigd. Bron: Palo Alto
    De incubatieperiode van KeRanger is 3 dagen. Goed om te zien hoe snel er gehandeld wordt, vanuit Apple, Transmission en de community!

  • Profielfoto
    Targaryen

    Ik loop kennelijk een paar versies achter. Ik zit nog op 2.84.

  • Profielfoto
    Raymon Mens

    Artikel bijgewerkt met laatste info.

  • Profielfoto
    iMac Lover

    Ik gebruik de app Tribler, ontwikkeld door de jongens en meisjes van de TU Delft.

    Ik gebruik hem echter nauwelijks, maar men zegt, dat dit een goed Torrent programma is om films te downloaden.

    http://www.tribler.org/

    Gr.

  • Profielfoto
    Facundo

    Ik gebruik pindakaas, ontwikkeld door de jongens en meisjes van Calvé. Ik gebruik het echter nauwelijks, maar men zegt dat het lekker is om op je boterham te smeren.
    http://www.totaalirrelevantwantnietstemakenmetkwaliteitvantransmission.nl

  • Profielfoto
    DBLCreations

    @Facundo, gij zijt den tofste thuis hé? Ik heb het al door;-)

    iMac lover geeft gewoon een app aan die misschien goed zou kunnen werken voor iemand… Dat jij daar niets aan hebt is jouw probleem. Eet smakelijk:-)

    On topic, fijn artikel, inderdaad goed dat er zo snel gereageerd word. Ik heb transmission zelf nog nooit gebruikt maar was het onlangs tegengekomen in een youtube filmpje. Wist niet of dat dit een goede app was maar als ik de commentaar van Shmoo lees, iemand die kennelijk toch tevreden lijkt over deze app, zou ik het wel eens willen uitproberen…

  • Profielfoto
    Shmoo

    In de tijd dat ik overstapte naar Mac (2006/2007) was FTD nog heel erg populair. Ik gebruikte toen geen Torrents alleen maar Nieuwsservers en de Unison app. Nadat FTD voor goed sloot en het moeilijk werd om in Nieuwsgroepen te zoeken werd na een tijdje duidelijk dat 8/10 Mac gebruikers Transmission gebruikte om Torrents te downloaden. Via sites als KickAssTorrent.whatever.het.allemaal.was kon je dan heel goed spulletjes binnenharken.
    .
    Ik ben nooit iemand geweest die veel deed downlanden, wat films, beetje muziek, hier en daar wat software illegaal zoals Adobe CS3, CS 4 en dat soort dingen maar sinds ik Adobe software niet meer gebruik heb ik geen reden om software nog illegaal te gaan downlanden. Al mijn apps kosten 50 of 99,- eens per 3 jaar dat zijn prijzen waar je je voor zou moeten schamen als je het gaat downloaden en illegaal gebruiken met al dit soort mogelijke problemen.
    Met de komst van Netflix ben ik ook steeds minder films gaan downloaden, ik kijk nu veel meer series op Netflix omdat qua films Netflix niet zo heel interessant is maar goed, ik heb wel respect voor het bedrijf dat ze het proberen. Ze doen hun best om veel goede content online te zetten, dat dit via allerlei regels en voorwaarden iet altijd luk daar kan Netflix niets aan doen dat zijn de boemannen van de film industrie die dat tegenwerken.
    .
    Transmission is gewoon het beste programma om Torrents mee te downloaden, klaar. Het is lean, simpel en zonder fratsen, precies zoals je Mac ook hoort te werken.
    Dat het nu fout gaat bij waarschijnlijk een heel erg klein groepje mensen, dat is jammer maar ik blijf het programma zeker gebruiken.

  • Profielfoto
    whaha

    Ben ik even blij dat ik via het programma de update heb gedraaid, ik heb nu net pas 92 er op gezet namelijk…