Malware

OSX/Keydnap แพร่กระจายผ่านแอปพลิเคชัน Transmission

เมื่อเดือนที่ผ่านมาเราเขียนบทความเกี่ยวกับ OSX/Keydnap มัลแวร์บนระบบปฏิบัติการ OS X ที่ถูกออกแบบมาเพื่อขโมยข้อมูล และแทรกตัวอยู่ในระบบอย่างแนบเนียน ซึ่งก่อนหน้านี้เรายังไม่ทราบถึงวิธีการเข้าแทรกซึมเข้าสู่ระบบของ Keydnap

OSX/Keydnap แพร่กระจายผ่านเว็บไซต์ทั่วๆไป โดยสร้างเวอร์ชันเสมือนของแอปพลิเคชันอย่าง BitTorrent และฝังตัวอยู่บนเว็บไซต์

ทันทีที่ ESET รายงานไปทีมงานของพวกเขาก็ทำการเอาไฟล์ออกทันที และเริ่มการตรวจสอบทันทีเพื่อสืบหาสาเหตุ จากรหัสของมันทำให้เราทราบว่าแอปพลิเคชันลงชื่อไปเมื่อวันที่ 28 สิงหาคม และเหมือนจะแพร่กระจายในวันถัดมา เพราะฉะนั้นเราแนะนำให้ทุกคนที่ดาวน์โหลดแอปพลิเคชัน Transmission v2.92 ระหว่างวันที่ 28 ถึง 29 ส.ค. ตรวจสอบว่าระบบของคุณได้รับผลกระทบหรือไม่โดยการตามหาไฟล์เหล่านี้:

  • /Applications/Transmission.app/Contents/Resources/License.rtf
  • /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
  • $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
  • /Library/Application Support/com.apple.iCloud.sync.daemon/
  • $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

ถ้าหากคุณมีไฟล์เหล่านี้อยู่ในเครื่องนั่นหมายความว่ามัลแวร์ Keydnap ได้ทำงานอยู่บนเครื่องคุณแล้ว และอีกจุดสังเกตก็คือไฟล์ติดตั้งเลียนแบบมีชื่อว่า Transmission2.92.dmg ในขณะที่ของแท้มีชื่อว่า Transmission-2.92.dmg

%d bloggers like this: