BitTorrent-Client Transmission brachte erneut Malware auf Macs

Zum zweiten Mal konnten sich Nutzer durch den Download der populären BitTorrent-App Malware auf ihrem Mac einfangen. Transmission war mit dem Schädling "Keydnap" verseucht, der es auf die Schlüsselbund-Passwörter abgesehen hat.

In Pocket speichern vorlesen Druckansicht 71 Kommentare lesen
BitTorrent-App Transmission

Die Mac-Version des BitTorrent-Clients Transmission.

(Bild: Entwickler)

Lesezeit: 3 Min.
Von
  • Leo Becker

Angreifer haben erneut Mac-Malware mit Hilfe des BitTorrent-Clients Transmission verbreitet. Sie waren nach Analyse der Sicherheitsfirma ESET in der Lage, eine modifizierte und signierte Version der beliebten BitTorrent-App über die offizielle Seite zum Download anzubieten. Die manipulierte Version von Transmission habe die Schad-Software Keydnap auf dem Mac installiert, sobald der Nutzer die App gestartet hat.

Die Angreifer verwendeten dafür zwar nicht das Transmission-Zertifikat, sondern ein eigenes von Apple signiertes, schreiben die Sicherheitsforscher. Durch die legitime Signatur schlug angeblich auch die in OS X integrierte Malware-Schutzfunktion Gatekeeper nicht beim Ausführen von Transmission respektive des Schädlings an.

Die infizierte Fassung von Transmission 2.92 stand offenbar für rund 24 Stunden zum Download bereit und wurde dann – auf einen Hinweis von ESET hin – von den Entwicklern entfernt. Die modifizierte App sei aber nicht im Rahmen der integrierten Aktualisierungsfunktion ausgeliefert worden, betont der Transmission-Anbieter. Man habe die Webseite und alle Dateien von den bisher verwendeten Servern zu GitHub umgezogen. Wie die Angreifer Zugriff auf die Server erhielten und wie viele Nutzer den BitTorrent-Client in diesem Zeitraum heruntergeladen haben, bleibt vorerst offen.

Wer Transmission rund um den 28. August heruntergeladen und in Benutzung genommen hat, sollte unbedingt prüfen, ob er bestimmte Dateien auf seinem Mac findet. Ist eine oder mehrere der folgenden Dateien auf dem Mac zu finden, sei dieser kompromittiert, schreibt ESET:

/Applications/Transmission.app/Contents/Resources/License.rtf

/Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf

$HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd

$HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id

$HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist

/Library/Application Support/com.apple.iCloud.sync.daemon/

$HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

Das Disk-Image mit der infizierten Transmission-Version trage den Namen Transmission2.92.dmg im Unterschied zur legitimen Fassung Transmission-2.92.dmg, die einen Bindestrich vor der Versionsnummer enthält. Die Transmission-Entwickler haben außerdem eine Anleitung zur Entfernung von Keydnap veröffentlicht.

Bei Keydnap handelt es sich offenbar um einen relativ cleveren Schädling, der mit geklonten Systemdialogen versucht, das Benutzerpasswort zu erfassen und damit dann auch versucht, Einträge aus der Schlüsselbund-App auszulesen, die alle Nutzer-Passwörter in Mac OS X verwaltet.

Im März wurde bereits der Erpressungstrojaner Keyranger durch eine manipulierte Version von Transmission verbreitet, die damals auch über die integrierte Aktualisierungsfunktion ausgeliefert wurde.

Mehr zum Thema:

(lbe)