Officiële Mac-app Transmission besmet met ransomware
Onderzoekers hebben in het officiële installatieprogramma van de Mac-app Transmission ransomware aangetroffen, die bestanden voor losgeld versleutelt. De app werd niet binnen de Mac App Store aangeboden, maar kon via de officiële website van Transmission worden gedownload en was gesigneerd met een geldig ontwikkelaarscertificaat van Apple. Transmission is een populair BitTorrentprogramma.
Op 4 maart slaagden aanvallers erin om twee installatieversies van Transmission 2.90 met de KeRanger-ransomware te infecteren en deze op de officiële website te krijgen, zo meldt beveiligingsbedrijf Palo Alto Networks. Hoe de aanvallers toegang tot de website wisten te krijgen is onbekend. Doordat KeRanger met een geldig ontwikkelaarscertificaat was gesigneerd kon het de Gatekeeper-beveiliging van Mac OS X omzeilen.
De besmette versie blijkt na de installatie drie dagen te wachten voordat er via het Tor-netwerk met de ransomware-servers verbinding wordt gemaakt. Vervolgens versleutelt de ransomware verschillende soorten bestanden en toont het slachtoffer een melding dat er 1 bitcoin voor het ontsleutelen moet worden betaald. Met de huidige wisselkoers komt dat neer op 370 euro.
Apple heeft inmiddels het ontwikkelaarscertificaat ingetrokken en XProtect, de ingebouwde virusverwijdertool in Mac OS X, geüpdatet, zodat de ransomware wordt herkend. De ontwikkelaars van Transmission hebben de besmette versie van de website verwijderd en twee nieuwe versies uitgebracht. Via een grote waarschuwing op de website wordt gebruikers aangeraden om versie 2.92 te installeren, die de ransomware verwijdert. Ook gebruikers die versie 2.91 installeerden moeten naar deze versie upgraden. Hoewel versie 2.91 niet geïnfecteerd is geweest, verwijdert die niet de ransomware. Volgens VirusTotal wordt de ransomware op dit alleen moment door Trend Micro gedetecteerd.
Update
De ransomware blijkt na een herstart van de computer niet meer te werken, totdat de besmette Transmission-app weer wordt gestart. Daarnaast hebben gebruikers die besmette Transmission-versie installeerden nog enkele uren voordat de ransomware tot het versleutelen van bestanden overgaat. Zie ook dit artikel.
Op 4 maart slaagden aanvallers erin om twee installatieversies van Transmission 2.90 met de KeRanger-ransomware te infecteren en deze op de officiële website te krijgen, zo meldt beveiligingsbedrijf Palo Alto Networks
En die website is gemaakt met? ... PHP 5.4.45
PHP 5.4. Dat zegt wel wat over de prio van security.
Niet bepaald fraai dit.
assumptions...versie nummers...
helemaal NIETS met elkaar te maken hebben?
Ik zat pas toevallig over Transmission te lezen op Tweakers.
De review begon zo..
De discussie eronder was wel direct interessant, want inderdaad een interval in je update support van bijna 2 jaar?
Waren er in de tussentijd dan nooit relevante kwetsbaarheden te patchen?
Nou hing het wel een beetje in de lucht, ook hier op forum werd daar in een aparte waarschuwing op gewezen overigens.
Mac OSX Ransomware "GinX" ?
01-03-2016, 22:17
https://www.security.nl/posting/462996/Mac+OSX+Ransomware+%22GinX%22+%3F
Want sinds begin februari schijnt het dat Ransomware as a service (RaaS) voor Mac OS X al werd aangeboden op 'ondergrondse fora'.
Interessant zal het worden om te zien of de huidige 'maker' van de geïnfecteerde Transmission app eigenlijk gebruik heeft gemaakt van de Ransomware dienst door componenten daarvan te implementeren in de Transmission app.
De aangeboden 2.90 versie had ik vorige week niet gedownload (wat moest ik er sowieso mee?) maar nu wel, bij een van de bekende software portals waar je je software nou juist niet vandaan moet halen (ook al heb je 100% safe garantie als je ze mag geloven) nog een exemplaar gevonden.
Misschien eens loslaten op een testsysteempje om te kijken of er nog nuttige security maatregelen van kunnen worden afgeleid.
Maar ik ben bang van niet, een app in het algemeen en een dergelijke app in het bijzonder leent zich natuurlijk perfect (ivm poorten en verbindingen circus) voor dit soort gare onzin .
Ik ben benieuwd naar wat voor informatie hier verder nog op tafel komt, meeste nieuws herhaalt op dit moment elkaar.
Stay secure
Transmission 2.90 review Tweakers
https://tweakers.net/downloads/36457/Transmission-290.html
GinX RaaS
http://inteller.solutions/?p=356
(welke ondergrondse fora blijft helaas een raadsel)
NOS geeft advies (ipv security.nl)
http://nos.nl/artikel/2091151-mac-gebruikers-voor-het-eerst-doelwit-van-ransomware.html
P.s., iets anders relevants.
Ik zag op de Transmission site geen hashwaarden om downloads te controleren.
Misschien keek ik erover heen, sommige developers verstoppen die graag.
Maar goed, hoeveel zin heeft het om hashes te controleren als de download op hetzelfde domein wordt aangeboden als waar de hashwaarden staan vermeld.
Beetje wakker-hakker past dan ook dat netjes aan.
Evengoed doe ik het altijd braaf waar het kan.
Niet bepaald fraai dit.
assumptions...versie nummers...
http://w3techs.com/sites/info/transmissionbt.com
$ wget -S https://www.transmissionbt.com/
--2016-03-07 18:04:27-- https://www.transmissionbt.com/
Resolving www.transmissionbt.com (www.transmissionbt.com)... 91.121.59.153
Connecting to www.transmissionbt.com (www.transmissionbt.com)|91.121.59.153|:443... connected.
HTTP request sent, awaiting response...
HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Mon, 07 Mar 2016 17:04:27 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Dit incident suggereert dat die geheime sleutel onvoldoende veilig was opgeslagen. DigiNotar in het klein.
Niet bepaald fraai dit.
Aannames zijn een prima manier om alternatieve scenario's door te denken, maar blijf je er wel van bewust wat aannames zijn en wat feiten.
Dit incident suggereert dat die geheime sleutel onvoldoende veilig was opgeslagen. DigiNotar in het klein.
Dit incident hoeft niet eens per se te betekenen dat de sleutel van de ontwikkelaar gecompromitteerd is geraakt. Wie weet heeft de aanvaller een enkele release-build aangepast die vervolgens door een nietsvermoedende ontwikkelaar ondertekend is.
Dit is geen DigiNotar in het klein, dit lijkt meer op een gehackte webserver.
Dit is geen DigiNotar in het klein, dit lijkt meer op een gehackte webserver.
Dat zijn dezelfde fouten die DigiNotar maakte.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.