Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Erneut Mac-Malware via Transmission in Umlauf gebracht

Im März gab es schon einmal den Fall, dass sich zahlreiche Nutzer durch Installation des beliebten BitTorrent-Clients Transmission mit Malware infizierten (). Prekär daran war, dass es sich um offizielle Downloads auf den Produktseiten handelte, denen ein Keylogger untergeschoben werden konnte. Sicherheitsforschern zufolge waren rund 6500 Nutzer betroffen, die sich zum Teil anschließend mit Lösegeldforderungen beschäftigen mussten - die Malware verschlüsselte nämlich essenzielle Daten und gab diese nur gegen Zahlung von 350 Dollar wieder frei. Jetzt ist es erneut derselbe BitTorrent-Client, der Nutzern neben der Software noch zusätzliches, ungewolltes Beiwerk mitlieferte.


Wer am 28. und 29. August Transmission herunterlud und installierte, hat sich damit wahrscheinlich auch das Keydnap-Package eingehandelt. Da Transmission selbst ordnungsgemäß signiert ist, verhindert Gatekeeper aus OS X auch nicht die Ausführung des schädlichen Codes. Sobald es Keydnap gelungen ist, sich ins System einzuschleusen, macht sich die Malware auf die Suche nach Passwörtern - allem voran dem Hauptpasswort des Schlüsselbunds. Auch Login-Informationen für große Dienste sind für Keydnap sehr interessant.

Herausfinden, ob man von Keydnap betroffen ist
Keydnap legt einige Dateien im System an, die als eindeutiger Hinweis auf eine Infektionen dienen. Wer die fraglichen Dateien vorfindet, gehört daher zu den unglücklichen Nutzern, die just im zweitätigen Zeitfenster der manipulierten Transmission-Version auf den Downloadbutton klickten und das Programm installierten. Es handelt sich dabei um folgende Dateien, nach denen Ausschau gehalten werden sollte:

  • /Applications/Transmission.app/Contents/Resources/License.rtf
  • /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
  • $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
  • /Library/Application Support/com.apple.iCloud.sync.daemon/
  • $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

Zunächst war gar nicht klar, was der Auslöser der plötzlich ansteigenden Malware-Fälle war. ESET Research hatte zunächst vermutet, dass der Angriff ausschließlich Sicherheitsspezialisten galt. Dann stellte sich jedoch bald heraus, was tatsächlich die Malware in Umlauf brachte.

Kommentare

trashcantrasher31.08.16 09:23
für was verwendet man eine BitTorrent Client? Gibt es legale Beispiele?
0
Whip31.08.16 09:29
trashcantrasher
für was verwendet man eine BitTorrent Client? Gibt es legale Beispiele?

Und deshalb ist es OK diesen Leuten Malware unterzuschieben??.....
Ich glaubs nicht; Kopschüttel, sich wegdrehend und -ob soviel Dummheit- fremdschämend davongehen.
0
iGod31.08.16 09:31
Whip
trashcantrasher
für was verwendet man eine BitTorrent Client? Gibt es legale Beispiele?

Und deshalb ist es OK diesen Leuten Malware unterzuschieben??.....
Ich glaubs nicht; Kopschüttel, sich wegdrehend und -ob soviel Dummheit- fremdschämend davongehen.

Naja, wenn man im Thailandurlaub ungeschützten Sex für 2,50€ hat muss man sich nicht wundern und darf sich nicht beklagen, wenn man sich etwas einfängt.
0
maczock31.08.16 09:42
trashcantrasher
für was verwendet man eine BitTorrent Client? Gibt es legale Beispiele?

Natürlich, es gibt kommerzielle Software, die auch Torrents für den Download anbietet.
0
trashcantrasher31.08.16 09:47
Whip
trashcantrasher
für was verwendet man eine BitTorrent Client? Gibt es legale Beispiele?

Und deshalb ist es OK diesen Leuten Malware unterzuschieben??.....
Ich glaubs nicht; Kopschüttel, sich wegdrehend und -ob soviel Dummheit- fremdschämend davongehen.

Das war ne ernstgemeinte Frage, gibt es legale Beispiele?

Wo steht in meinem Beitrag, dass ich es okay finde Malware zu verbreiten?
0
mac minister31.08.16 09:49
Autsch, apple. Die Einschläge kommen näher.
0
camaso
camaso31.08.16 09:52
Ja, gibt es. Jeder Download von bspw.. Musik für private Nutzung ist legal in der CH. Nicht alles, was das deutsche Recht verbietet, ist per se illegal im Rest der Welt.
0
michaeldorner31.08.16 09:55
Du kannst große Datenpakete wie z.B. Linux oder TeX als torrent downloaden. Es gibt auch Sync-Tools (besonders interessant für Firmen, die sehr große Dateien verarbeiten/teilen) die auf BitTorrent basieren. Macht beides Sinn, schont Serverkapazitäten und ist vollkommen legal.
0
MetallSnake
MetallSnake31.08.16 10:13
Wie ist die Malware denn in den offiziellen Download gelangt?
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
mactechh31.08.16 10:14
Wieso ist immer Transmission betroffen? Wenn der Code ordnungsgemäß signiert ist, dann sollte Apple mal das Zertifikat der Transmission - Entwickler sperren.
0
john
john31.08.16 10:17
Das war ne ernstgemeinte Frage, gibt es legale Beispiele?
klar.
so ziemlich jedes opensource-projekt bietet den download auch als torrent an. sollen wir die jetzt einzeln aufzählen? darüber hinaus kommt jede linux-distrubition als torrent daher.
blizzards eigener battlenet-client verteilt die updates und downloads per torrent (gut.. nicht per transmission, aber die technik dahinter ist diesselbe).

ps: die bbc verteilt ihre mediathek per bittorrent.
biete support. kostenlos, kompetent und freundlich. wähle zwei.
0
Der Mike
Der Mike31.08.16 10:36
trashcantrasher
Die meiste OSS kann auch als Torrent heruntergeladen werden. Also LibreOffice uswusf.

BitTorrent ist an sich eine feine Sache. Mir wäre nur recht, wenn Apple große Dateien (Combo-Updates uswusf.) auch darüber anbieten würde. Hätte dann praktisch immerzu maximalen Downstream, auch direkt nach einem Release.
0
MetallSnake
MetallSnake31.08.16 10:37
Schade dass ihr (MTN) keine Quelle angebt. Laut WeLiveSecurity ( http://www.welivesecurity.com/2016/08/30/osxkeydnap-spreads-via-signed-transmission-application/ ) haben die Dateien nämlich kein Leerzeichen im Namen!
MTN
/Applications/Transmission.app/Contents/Resources/License.rt f
/Volumes/Transmission/Transmission.app/Contents/Resources/Li cense.rtf
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
sierkb31.08.16 10:50
john
Das war ne ernstgemeinte Frage, gibt es legale Beispiele?
klar.
so ziemlich jedes opensource-projekt bietet den download auch als torrent an. sollen wir die jetzt einzeln aufzählen? darüber hinaus kommt jede linux-distrubition als torrent daher.
blizzards eigener battlenet-client verteilt die updates und downloads per torrent (gut.. nicht per transmission, aber die technik dahinter ist diesselbe).

ps: die bbc verteilt ihre mediathek per bittorrent.

Nicht jedes Open-Source-Projekt, ansonsten: +1. Aber einige doch sehr namhafte, große OSS-Projekte. U.a., um ihre Download-Server bzw. Mirror-Server zu enlasten, die Last zu verteilen, sich bzgl. der Verbreitung und des Vertriebs der Software breiter und dislozierter aufzustellen.


  • LibreOffice offizielle Torrents:
  • OpenOffice (gewesene) offizielle Torrents:

Weitere Beispiele:

  • openSUSE Linux Download, BitTorrent
  • Ubuntu Linux Download, Alternative Downloads, BitTorrent
  • Fedora Linux Project, BitTorrent Tracker
  • FreeBSD Torrents:
  • […]
  • Weitere Beispiele bzgl. Linux-Distributionen u.a. auf DistroWatch

Etc. pp.
0
Retrax31.08.16 10:58
Was ist bei den Entwicklern von Transmission in der Diskussion um ein solches wiederholtes ausnutzen von Sicherheitslücken mind. zu "erschweren"?

So dass man wieder bedenkenlos Transmission von der Original-Webseite der Entwickler laden kann.

Eine Aufnahme in den "Mac App Store" ist ja leider ausgschlossen.
0
sierkb31.08.16 11:02
trashcantrasher
für was verwendet man eine BitTorrent Client? Gibt es legale Beispiele?

Wikipedia (en): BitTorrent: Adoption

Lies Dir die dort genannten Anwendungs- und Einsatzbeispiele, wo und bei wem und wozu das überall zum Einsatz kam und kommt, mal durch. Da kommt was zusammen.
0
sierkb31.08.16 11:15
Transmission u.a. ebenfalls zu haben via MacPorts oder Homebrew :

MacPorts port file
sudo port install transmission
Homebrew formula
brew install transmission
0
MetallSnake
MetallSnake31.08.16 12:00
sierkb
Homebrew formula
brew install transmission
brew.sh
Caveats
This formula only installs the command line utilities.

Transmission.app can be downloaded directly from the website:
https://www.transmissionbt.com/

Alternatively, install with Homebrew-Cask:
brew cask install transmission

To have launchd start transmission now and restart at login:
brew services start transmission
Or, if you don't want/need a background service you can just run:
transmission-daemon --foreground
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
tranquillity
tranquillity31.08.16 12:01
mactechh
Wieso ist immer Transmission betroffen? Wenn der Code ordnungsgemäß signiert ist, dann sollte Apple mal das Zertifikat der Transmission - Entwickler sperren.

Im Artikel von MTN ist das nicht genau wiedergegeben: die Software ist mit einem gültigen Zertifikat versehen, aber dies ist nicht das Zertifikat der Transmission-Entwickler. Genaueres siehe hier bei giga:
0
sierkb31.08.16 12:23
MetallSnake:

Danke für die Klar- und Richtigstellung. Ich benutze und bevorzuge aus verschiedenen Gründen MacPorts (u.a. auch deshalb, weil historisch, technisch und konzeptionell, organisational und personell näher dran an OS X und Apple und mit beiden enger verwurzelt, verbunden und im Gleichtakt schwingend als Homebrew oder Fink).

Aus Deiner Angabe dann wohl folgend: Bei MacPorts bekommst Du im Gegensatz zu Hombrew die vollwertige, komplette App, sogar einmal als Aqua/Cocoa-Version (da Qt-basiert) und einmal als X11-basierte Version: .
0
Dr. Seltsam
Dr. Seltsam31.08.16 16:16
Ich benötigte für freie, legale Software oder Mediadateien hier in Deutschland noch nie einen BT-Client.

Jede Distri und jedes freie, legale andere Programm bekommt man OHNE dedizierten Bittorrent-Client. Blizzard etc. haben ihren eigenen.
0
john
john31.08.16 18:25
Dr. Seltsam
Ich benötigte für freie, legale Software oder Mediadateien hier in Deutschland noch nie einen BT-Client.

Jede Distri und jedes freie, legale andere Programm bekommt man OHNE dedizierten Bittorrent-Client. Blizzard etc. haben ihren eigenen.
es hat auch niemand das gegenteil behauptet.
biete support. kostenlos, kompetent und freundlich. wähle zwei.
0
MetallSnake
MetallSnake31.08.16 18:53
sierkb
Aus Deiner Angabe dann wohl folgend: Bei MacPorts bekommst Du im Gegensatz zu Hombrew die vollwertige, komplette App

Nein
brew
Alternatively, install with Homebrew-Cask:
brew cask install transmission

damit wird die "vollwertige" App installiert.
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
Retrax31.08.16 19:57
Dr. Seltsam
Ich benötigte für freie, legale Software oder Mediadateien hier in Deutschland noch nie einen BT-Client.

Jede Distri und jedes freie, legale andere Programm bekommt man OHNE dedizierten Bittorrent-Client. Blizzard etc. haben ihren eigenen.

Es geht ja auch weniger um BitTorrent, sondern um den Fakt dass sich scheinbar OSS für den Mac so einfach kompromittieren lässt, dass sämtliche Sicherheitsmaßnahmen versagen - gerade auch wenn man als sicherheitsbewusster Nutzer die App von den original Quellen lädt!
0
ratti
ratti31.08.16 20:36
Dr. Seltsam
Ich benötigte für freie, legale Software oder Mediadateien hier in Deutschland noch nie einen BT-Client.

Jede Distri und jedes freie, legale andere Programm bekommt man OHNE dedizierten Bittorrent-Client. Blizzard etc. haben ihren eigenen.

Ich versuche, möglichst viel Software mit Bittorrent zu laden.

Projekte wie Debian oder LibreOffice bitten darum, dass man möglichst Bittorrent verwendet, weil durch das P2P-Verfahren viel weniger Netzwerk-Traffic für diese freien Projekte anfällt. Das entlastet sie technisch und finanziell.
0
ratti
ratti31.08.16 20:48
tranquillity
mactechh
Wieso ist immer Transmission betroffen? Wenn der Code ordnungsgemäß signiert ist, dann sollte Apple mal das Zertifikat der Transmission - Entwickler sperren.

Im Artikel von MTN ist das nicht genau wiedergegeben: die Software ist mit einem gültigen Zertifikat versehen, aber dies ist nicht das Zertifikat der Transmission-Entwickler. Genaueres siehe hier bei giga:

Die Frage ist aber schon berechtigt: Die Signatur kam zwar von jemand anderem, aber immerhin war das Paket auf der Original-Website untergebracht, nicht in irgendwelchen dubiosen Quellen. Da stellt sich schon die Frage, ob die Entwickler sich da das beste Setup ausgesucht haben, um ihre Software zu verteilen.

Nachtrag:
Beim Schreiben kam mir die Idee, mal auf der Website nachzusehen, was man dort meint — und anscheinend meint man das gleiche und hat die Infrastruktur zu Github umgezogen.
0
john
john31.08.16 22:35
Da stellt sich schon die Frage, ob die Entwickler sich da das beste Setup ausgesucht haben, um ihre Software zu verteilen.
vor allem weil es ja jetzt schon das zweite mal innerhalb relativ kurzer zeit vorgekommen ist.
fool me once, schame on you. fool me twice, shame on me.
biete support. kostenlos, kompetent und freundlich. wähle zwei.
0
chill
chill01.09.16 09:39
Klar gibts legale Anwendungen. Auch die "World of .." Reihe verteilt ihre Files per BitTorrent. Das sind teils 2 stellige Gigabyte an Daten. Allerdings benötigt man keine extra App dafür, das läuft über deren Updater/Installer
MBP M1 256/16 Monterey 12.1 . iPhone 11 128 GB, iOs 15.2
0
sierkb01.09.16 10:45
chill
Klar gibts legale Anwendungen. Auch die "World of .." Reihe verteilt ihre Files per BitTorrent. Das sind teils 2 stellige Gigabyte an Daten. Allerdings benötigt man keine extra App dafür, das läuft über deren Updater/Installer

Schön und gut, aber hat mit dem Vorliegenden nichts bis wenig zu tun, denn der Updater/Installer holt sich die betreffenden Dateien/Inhalte dann woher, von welchen und wessen Servern, wenn nicht lokal bereits schon im Installerpaket vorliegend – irgendwer muss diese ja bereitstellen?

Apple und andere verteilen ihre Dateien und Inhalte, die sie anbieten zum Beispiel sehr wesentlich über einen Drittanbieter namens Akamai . Das macht Apple aus genau den selben Gründen: Lastverteilung. Bzw. überlässt das jemandem, der sich drauf spezialisiert hat und damit besser auskennt

Es gibt viele Wege, ein Gut, Inhalte, zu verteilen, Last zu verteilen. Via P2P wie BitTorrent und dessen Protokoll es darstellt, ist eine Form. Ein Service durch einen Drittanbieter wie Akamai eine andere. Beide sind legal, beide sind gebräuchlich.
0
milk
milk01.09.16 16:34
sierkb
Es gibt viele Wege, ein Gut, Inhalte, zu verteilen, Last zu verteilen. Via P2P wie BitTorrent und dessen Protokoll es darstellt, ist eine Form. Ein Service durch einen Drittanbieter wie Akamai eine andere. Beide sind legal, beide sind gebräuchlich.

P2P kostet nichts, deswegen ist es für freie Software eine gute Wahl, um die Kosten zu senken. Akamai und Co. eignen sich eher für kommerzielle Produkte.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.