Als je op versie 2.90 zit, dan moet je meteen updaten naar 2.91. Lees ook even de rode tekst...

MacFrankie om 19:49, 6-03-2016
Zie hier.

Als je op versie 2.90 zit, dan moet je meteen updaten naar 2.91. Lees ook even de rode tekst...

"rode tekst?"…………………………..

Gottfried Julius om 21:43, 6-03-2016

"rode tekst?"…………………………..

Wij allen weten dat het belangrijk is om niet als beheerder ingelogd een netwerkverbinding aan te gaan om te gaan surfen op internet maar hier ga je ook de boot in als gebruiker, want OSX zal niet vragen om een permissie aangezien de malware na het starten van de gecompromitteerde Transmission wordt geinstalleerd in ~/Library (gebruikersbibliotheek)

When users click these infected apps, their bundle executable Transmission.app/Content/MacOS/Transmission will copy this General.rtf file to ~/Library/kernel_service and execute this “kernel_service” before any user interface appearing.
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

Het nieuws heeft inmiddels ook al de NOS bereikt:
http://nos.nl/artikel/2091151-mac-gebruikers-voor-het-eerst-doelwit-van-ransomware.html  

(Bewerkt door jeanhoek om 22:55, 6-03-2016)

De link naar door criminelen mogelijk gebruik van digitale voorzieningen die privacy waarborgen/ versterken zoals uitvoerig aan de orde in de bijna slopende discussie hierover m.b.t. de iPhone en hier het TOR netwerk is ècht niet ver gezocht.

Oh oh waar gaat dit toch naar toe?
Niet goed, niet Goed!

Gebruik jij Transmission alleen voor legale zaken dan? Als je 'm gebruikt voor bijv. het halen van films, dan ben je zelf al illegaal bezig en "wie de bal kaatst.."

Dan trek je het toch te breed. Ik bedoel slechts dat privacy voorzieningen ook kunnen worden misbruikt, bijvoorbeeld door kwaadwillenden. Dat is de keerzijde van de medaille.

Wat betreft Transmission. Neen ik gebruik het niet; ken het zelfs niet.
Ik ben oud film-operateur en heb ronduit een hekel aan het downloaden van film(s)  

@ MacFrankie: bedankt voor de waarschuwing!

Hoe dan ook. Het was weer eens een leuke zoektocht om te kijken hoe het in elkaar steekt   ...

De laatste bijdrage(n) van de geïnfecteerde Transmission-toepassing is gesigneerd met een certificaat (Z7276PX673) op de naam POLİSAN BOYA SANAYİ VE TİCARET ANONİM ŞİRKETİ. De naam verwijst naar een legitiem bedrijf in Izmir (Turkije). Er zijn verschillende scenario's denkbaar, (nog) niet kunnen onderzoeken hoe het verder zit.

Van oorsprong is het niet een IT-onderneming. Ofwel er is sprake van een kwaadwillende binnen de onderneming, of er is sprake van 'identity theft', waarbij de gegevens van het bedrijf zijn gebruikt om (valselijk) een certificaat aan te vragen. Maar goed, er zijn meer scenario's mogelijk.

En dan ... Te simpel voor woorden ... Waaruit blijkt dat bepaalde zwaktes nog lang niet uit MacOS X zijn gehaald.

Als je via de terminal 'naar de Transmission.app switcht om vervolgens middels een eenvoudig file commando te bepalen of de inhoud van de bestanden strookt met de extensie, dan kom je al tot iets vreemds:

Transmission.app/Contents/Resources/General.rtf

Heeft weliswaar de extensie RTF maar is feitelijk een executable ... Omdat de Finder al sinds jaar en dag eigenlijk alleen naar de extensie kijkt, ziet het bestand er vanuit de Finder ook uit als ... Juist ja ... Een textbestand (RTF-bestand).

Omdat het bestand zich binnenin een geïnstalleerde toepassing bevind heeft het, zeg maar, 'de nodige rechten' (lees: programma rechten).

Nadere kijk op het bestand laat zien dat de toepassing 'bitewise' is geoptimaliseerd middels een zogeheten 'packer'. Het gebruik hiervan heeft twee voordelen: verkleinen (optimaliseren) van de grootte van een bestand en ... de inhoud van het bestand wordt (wederom) iets minder leesbaar. Gelukkig is UPX open source, dus ... is het een kwestie van downloaden en uitpakken ...  

http://upx.sourceforge.net/

Tja en wat dan volgt ... de mallware nestelt zich home-directory door drie bestandjes weg te schrijven:

.kernel_pid, .kernel_time en .kernel_complete.

De systeemtijd wordt steeds weggeschreven naar .kernel_time ... De machine-naam tezamen met de UUID wordt vervolgens door 'ET' doorgeseind naar het moederschip. Moederschip stuurt vervolgens een sleutel terug. Het laat zich raden, de sleutel wordt (later) gebruikt om de bestanden te versleutelen...

Overigens is alles keurig te herleiden, daar gebruik wordt gemaakt van standaard-mechanismen, zoals BASE64 om de inhoud van het bestand te 'versleutelen'.

... vervolgens hebben we drie dagen incubatie-tijd ... Na die drie dagen ontwaakt het kwaadwillende organisme om vervolgens, spreekwoordelijk 'los' te gaan ...

Na die drie dagen gaat de software los ... Een hele rits extensies is opgenomen in de kwaadwillende software: certificaten (.pem), email-berichten (.eml), archiefbestanden (.zip, .tar, .gzip), photos, audio-bestanden, documenten, ga zo maar door ... Van alles wordt onderhanden genomen.

In verband met de rechten doorloopt de software enkel de /Users-directory op de installatie-schijf. Maar ... ook alles wat op dat moment eventueel gemount is (externe schijven bijvoorbeeld) op /Volumes ...

Heb je op dat moment een Externe Schijf hangen aan je Mac, dan gaat die vrolijk mee de verdoemenis in ...

Timemachine lijkt niet getroffen te worden, althans zo lijkt het. Maar van een collega heb ik begrepen dat er aanwijzingen gevonden zijn waaruit blijkt dat de kwaadwillenden wel bezig waren (of zijn) met een Timemachine implementatie ... Maar ikzelf gebruik geen Timemachine en kan het niet testen.

Het is en blijft belangrijk om niet goed op te passen en het liefst 2 kopieen van je data te hebben. 1 kopie die je 'dagelijks' kunt aanspreken en 1 kopie die je met 'de nodige interval' (zeg drie dagen of een week) laat synchroniseren met je 1e kopie. Of ... je gebruikt afwisselend (om en om) twee schijven ... Wordt ook je backup getroffen, dan ben je nog steeds niet alles kwijt.

Het blijft altijd wrang, het gaat immers om criminelen. Maar het is ergens ook wel knap dat men praktisch alleen open source toepassingen en MacOS X eigen opdrachten gebruikt ... Wat dat betreft is het 'overzichtelijk' geprogrammeerd.

Tot slot: ikzelf download geen illegale films of muziek meer. Al jaren niet ... Voor mijn werk (security gerelateerd) moet ik echter wel de nodige systemen 'om zeep' helpen, zowel MacOS X als Windows ... Wat ik meestal doe is werken vanaf een externe schijf, waarbij de interne schijf niet zomaar benaderbaar is omdat deze versleuteld is en niet automatisch wordt aangekoppeld.

Mochten (gratis) films, series en muziek inmiddels hetzelfde verslavende effect hebben als suiker, roken of erger ... Dan is dat mogelijk een idee: om te werken met een externe schijf met een volwaardige MacOS X installatie. Als je interne schijf is versleuteld (FileVault), wordt deze niet zomaar gemount bij het werken van externe schijf.

Overigens worden voor 'zware sessies' speciaal geprepareerde computers gebruikt die verder nergens anders voor worden gebruikt dan onderzoek.

Groet,

Doctor

Maar goed, dit probleem kennen we op alle platforms en besturingssystemen. Of het nu MacOS X, Windows of Linux is ...

Maar ik ben het Flix eens, in dit specifieke geval maakt het niet heel veel uit of je met een administrator of gebruikers account werkt. Zodra je de toepassing installeert wordt naar je admin rechten gevraagd. Dat is het moment waarop het kwaad eigenlijk al is geschiet in dit geval.

Ik kwam overigens van de week ook een leuke tegen: een javascript dat volledig was geoptimaliseerd om naar gelang van het besturingssysteem (android EN iOS!) vanuit de browser zo snel mogelijk je geld afhandig te maken. Dit door de browser te laten stoppen op een scherm met een betaallink. Zo van "eerst betalen, dan verder browsen".

Wat mogelijk helpt is een beter gecontroleerde (gereguleerde) certificaat-afgifte en screening van ontwikkelaars. Maar ook dat blijft een lastig verhaal, zo blijkt. Maar waar een (kwade) wil is, is een weg ... Mogelijk binnenkort toch maar aan de virusscanners   op MacOS X ...

Ach ja, hoge bomem vangen veel wind. En nu is het Apple's beurt.

Mvg,

Doctor

Doctor Apple om 13:49, 7-03-2016
Mogelijk binnenkort toch maar aan de virusscanners   op MacOS X ...

Gatekeeper heeft meteen een update gekregen en het probleem is toch al geneutraliseerd?

Ik zou niet weten wat een virusscanner daar aan toe zou moeten voegen.  

mayo om 14:52, 7-03-2016
U torrent is ook besmet maar is makkelijk te verwijderen.

Dit is nieuw voor mij Mayo, welke versie en hoe is die besmet?
In de torrentwereld wordt Transmission amper gebruikt.
99 procent vd torrent servers die je zelf kan inrichten wordt Deluge of rTorrent gebruikt.
Mensen die op eigen netwerken downloaden gebruiken massaal uTorrent.
qBittorrent is een echte aanrader op dit gebied.

mayo om 14:52, 7-03-2016
U torrent is ook besmet maar is makkelijk te verwijderen.

Overigens probeerde ik zojuist BitTorrent 7.3.5 te updaten naar versie Bittorrent 7.4.3. Kreeg van BitDefender de waarschuwing dat er in de .dmg-file .spigot malware zat, en om die reden in quarantaine geplaatst werd. Hoe je het ook wilt noemen, malware, spyware, adware, virus, het blijkt dat Mac om de dooie dood wel kwetsbaar is. Alle voortdurende en hardnekkige ontkenningen ten spijt. Was ik blij dat ik BitDefender (toevallig) aan had staan!

(Bewerkt door bacon om 19:02, 7-03-2016)

mayo om 0:42, 8-03-2016
zie antwoord bacon als je wilt weten welke ik bedoelde

Bacon was je voor.
De ingebouwde add is niet echt een probleem meer storend.