Transmission : 6500 téléchargements du malware KeRanger

Nicolas Furno |

L’affaire fait grand bruit depuis sa découverte, hier en fin de journée : un malware s’est glissé dans Transmission, un client BitTorrent très populaire sur OS X. C’est la première fois qu’une telle attaque était menée sur le système d’Apple, d’autant qu’il ne s’agissait pas d’un simple malware, mais d’un ransomware, un logiciel malveillant chargé de soutirer de l’argent auprès de ses victimes (lire : KeRanger : ce que l’on sait sur le ransomware de Transmission).

Si vous utilisez Transmission, vérifiez bien que vous êtes à jour. La dernière version est la 2.92.
Si vous utilisez Transmission, vérifiez bien que vous êtes à jour. La dernière version est la 2.92.

Fort heureusement, la supercherie a été rapidement découverte et toutes les parties concernées ont fait leur boulot. Transmission a immédiatement retiré la copie vérolée de ses serveurs et a publié une mise à jour qui éradiquait le malware. Apple a aussi bloqué le code malveillant et même s’il est préférable de vérifier que l’on n’est pas touché, le pire a probablement été évité.

Transmission indique ce soir à l’agence Reuters que la version vérolée du logiciel a été téléchargée environ 6500 fois avant d’être retirée. C’est à la fois beaucoup — on a potentiellement autant de victimes — et assez peu par rapport au nombre d’utilisateurs de l’application. Ses concepteurs précisent que le principal serveur a été compromis, permettant aux malfaiteurs de glisser leur version à la place de l’officielle. La sécurité du serveur en question a été améliorée depuis, si bien que cela ne devrait pas se reproduire… du moins on l’espère !

avatar MacGruber | 

J'ai super flippé ! Truc de fou ! Je touche du bois ! Je n'ai pas été concerné.

avatar Androshit | 

@MacGruber :
Pourquoi flipper quand on est pas concerné ?

avatar C1rc3@0rc | 

Parce que c'est pas facile de savoir si on est ou pas concerné... si on est pas poweruser.

Je remet ici ce que j'ai écrit précédemment: a moins que le site ai ete corrompu intégralement (ce qui a pu etre le cas pour Transmission pour la 2.90), il y a un moyen relativement simple de verifier que l'on a bien chargé le bon soft et pas une version vérolée: verifier la checksum du soft.
Pour la plupart des soft elle se trouve sur le site original a proximité du soft a télécharger.

Il faut telecharger le soft et le laisser dans le dossier Telechargement puis il faut il faut coller la ligne suivante dans le terminal pour Transmission:
signature=$(openssl dgst -sha256 "$HOME/Downloads/Transmission-2.92.dmg"); [[ "${signature##*= }" == "926a878cac007e591cfcea987048abc0689d77e7729a28255b9ea7b73f22d693" ]] && echo "Valide!"

Si on prefere < a href=" http://download.deluge-torrent.org/mac_osx/deluge-1.3.12-osx-x64-inst.dmg">Deluge faut coller :
signature=$(openssl dgst -sha1 "$HOME/Downloads/deluge-1.3.12-osx-x64-inst.dmg"); [[ "${signature##*= }" == "1a32d14004c1dc7a070e7e83e4ad38aad58867b2" ]] && echo "Valide!"

Si ça affiche Valide, c'est que c'est OK

Le code que je donne ici ne marche que pour les versions 2.92 de Transmission et 1.3.12 de Deluge.

La seule faille a ce systeme c'est que la cle de checksum (SHA1,SHA256, MD5,...) ait ete modifié sur le site. Mais sinon il faut le faire systématiquement.

Pour Deluge il faut aller dans la section release note
Ce qui serait vraiment bien c'est qu'Apple integre un installateur pour les softs tiers qui reclame cette cle ou mieux encore: que le développeur donne systématiquement la clé a Apple et que la verification de fasse de maniere automatique, comme pour la verification du developer ID...

avatar karayuschij | 

Des solutions beaucoup plus simples ont déjà été proposées me semble-t-il

avatar C1rc3@0rc | 

Il semble que le malware soit bien l'oeuvre de scriptkiddies comme on pouvait s'en douter vu que TOR et Bitcoin etaient utilisés. Le malware est une adaptation pour OS X tres approximative du malware Linux.Encoder .

Apparemment le chiffrement des données est mal realisé et on devrait avoir d'ici peu un soft capable de dechiffrer les fichiers sans devoir passer par le tiroir caisse.

Bref ce qui semble s'etre produit c'est que des sales gamins ont trouvé une faille d'acces sur le site de Transmission et ont remplacé l'installateur originale par le leur qui embarquait une version du malware Linux.Encoder, adapté a l'arrache pour OS X. Ces gamins ont ensuite utilisés TOR pour communiquer avec leur victimes et se faire payer en utilisant Bitcoin. Bref, il vont se faire "attraper" d'ici peu et l'affaire sera close.

avatar MacGruber | 

@Androshit :

Parce que je n'ai pu vérifié qu'en rentrant le soir ...

avatar oliv30 | 

On va finir par trouver utile le Mac App Store...

avatar mocmoc | 

lol. Faut être connecter à internet pour ouvrir une app.

avatar Alberto8 | 

J'ai installé la version 9.93 et j'ai donc ensuite désinstaller bien sûr avant d'avoir vérifié si je n'étais pas infecté et d'après ce que j'ai constaté je n'étais pas infecté donc oui ont touche du bois

avatar Alberto8 | 

@Alberto8 :
"2.92 ..." Je suis parti dans le futur moi .

avatar nayals | 

Et on ne sait pas combien ont été réellement touchés du coup ? Faire la soustraction avec le nombre de téléchargements de la 2.92 donnerait un ordre d'idée

avatar Noam | 

@nayals :
Non pas vraiment
Je suppose que tu y a déjà pensé mais par exemple je suis passé en urgence hier soir sur la 2.92 et j'étais pourtant sous la 2.84 avant (le malware étant apparu à la 2.90)
Ainsi je pense qu'il devrait avoir peut plus de téléchargement pour la 2.92 que la 2.90

avatar Alberto8 | 

Content d'avoir retrouvé ce petit programme bien sympathique je l'avais téléchargé pour voir ce qu'il était devenu , Et bien maintenant je ne sais pas si j'aurais encore confiance pour le télécharger

avatar Rin-Kun | 

Les personnes passant pas le système de mise à jour intégrer au logiciel risquait quelque chose ou pas ?

avatar tchit | 

@Rin-Kun :
Normalement je crois que les MAJ faites via le push de MAJ depuis l'application ne sont pas concernées.

avatar 0MiguelAnge0 | 

@tchit :
Ah? Si la version originale a été substituée sur le serveur par la vérolée en quoi la mise à jour par push était immunisée? Quand tu as le push, tu vas chercher la MAJ où?!!

avatar marenostrum | 

peut-être que la maj remplace que quelques fichiers modifiés et pas l'app entièrement. elle pese moins dans ce cas, et n'est pas le même fichier source. mais tout ça dépend de leur conception.

avatar CNNN | 

Du coup s'il était déjà installé on ne risquait rien ?

avatar Alberto8 | 

@CNNN :
Si je crois à cause des mises à jour automatique

avatar TmrFromNO | 

Y'a t-il eu des symptomes lié à ce malware surtout?
Car ce lundi ça devait presque être la fin du monde hein ....

Alors qu'en fait, que dalle. Bon gros pétard mouillé.

avatar DeluxePainter | 

Ça n'a va pas qu'affecter les rançonneurs. Mais aussi les comptes bancaires des éditeurs d'antivirus-malwares-etc dont les sites ont dû recevoir un pic de fréquentation. D'ailleurs c'est normal de chercher à se protéger, il n'y a pas d'ironie ou de complotisme dans ce que je dis. C'est la rançon... du succès des Mac.

avatar lmouillart | 

Je vais refaire ma pub pour VirusTotal de Google, mais c'est un service en ligne qui va scanner un fichier ou mieux, une URL en la passant sur divers outils (dont plus d'une 50ène d'antivirus différents : https://www.virustotal.com/fr/about/credits/ dont ceux de Microsoft, Panda, MacAfee, Kaspersky, DrWeb, ...)

Cela peut être une bonne idée d'y envoyer des fichiers suspects (non confidentiel bien-sur), où de soumettre les url des applications et sans "pourrir" sa machine avec les lourdeurs d'un Antivirus.

avatar Benzino Napaloni | 

Effectivement, en faisant une recherche sur "test virustotal transmission 2.90 mac", on arrive sur ça :

https://www.virustotal.com/en/file/d1ac55a4e610380f0ab239fcc1c5f5a42722e...

Moi qui pensais que VirusTotal n'était pertinent que sur la recherche de malwares pour Windows, je suis agréablement surpris.

avatar Shepherd | 

Une soumission sur VirusTotal est bien sûr mieux que rien, mais reste illusoire.
Pour que l'un des moteurs antivirus détecte, faut-il que le malware soit connu et sa signature déjà intégrée à la base virale. En effet, je doute que VT analyse avec les méthodes de détection proactive.
Si la menace est de type "0-day", un antivirus installé sur le système et doté d'une technologie heuristique conserve une chance de détecter le malware, à plus forte raison si le comportement du code "rappelle" celui d'une version déjà connue.
Enfin, l'installation et la mise à jour de programmes ne sont qu'une source d'infiltration, il y en a tant d'autres...

avatar C1rc3@0rc | 

@DeluxePainter

Le probleme c'est que l'antivirus est incapable de detecter ce type de malware avant qu'il ait commencé son processus.

Une fois que le malware a ete identifié, et donc que le mal est fait, le systeme de protection d' Apple va bloquer le soft en question, donc plus besoin de l'antivirus...

Bref une fois encore les antivirus commerciaux demontrent leur inefficacité, en tout cas sur Mac.
Le truc de lmouillart est pas bete et au moins ça evite de pourrir sa machine avec des antivirus qui font plus de mal que de bien. Sinon on peut aussi installer Clam Av: la version libre est gratuite en ligne de commande.

sinon y une version sur le MacAppStore, mais elle est tres chere pour juste une interface graphique...

Pages

CONNEXION UTILISATEUR