Tutorials Brawte nfaq 0 Comments

Apple Macを標的とした初のランサムウェアがTransmission BitTorrentアプリのダウンロードに感染

Table of Contents

Apple Macを標的とした初のランサムウェアがTransmission BitTorrentアプリのダウンロードに感染

OS X をターゲットとした最初の「完全に機能する」ランサムウェアが、人気のある Transmission BitTorrent クライアントのダウンロードに何らかの形で紛れ込み、Mac に侵入しました。

Transmission の開発者は、アプリのウェブサイトに赤字で書かれた通知で、週末の直前に感染したソフトウェアのコピーを入手してインストールした場合は、クリーンなバージョンにアップグレードする必要があると警告した。

具体的には、バージョン 2.90 のダウンロードは、AES とオープンソースの暗号ライブラリを使用してファイルを暗号化し、文書の解読に代金を要求するランサムウェアに感染していました。

Transmissionには数百万人のアクティブユーザーがいます。アプリのウェブサイトサーバーが侵害され、ダウンロードファイルが改ざんされてKeRangerの不正プログラムが組み込まれた可能性があります。

ファイルを暗号化された人は、ファイルを取り戻すために、Tor ネットワークに隠された Web サイトに 400 米ドルのビットコインを支払うようマルウェアから要求される。

「OS Xで[バージョン]2.90を実行しているすべてのユーザーは、マルウェアに感染したファイルをダウンロードした可能性があるため、すぐに2.92にアップグレードして実行する必要があります」とTransmissionの作者は日曜日に投稿した。

パロアルトネットワークスの研究者、クロード・シャオ氏とジン・チェン氏は金曜日、BitTorrentソフトウェアに隠されたKeRangerランサムウェアを発見し、トランスミッションチームに感染を警告した。

2人とパロアルトネットワークスの7人のグループは、悪意のある人物が何らかの方法でダウンロードファイルにマルウェアを注入してから数時間後に侵入を検知しました。彼らは、KeRangerは感染したTransmissionクライアントがインストールされてから3日後に被害者のファイルを暗号化するようにプログラムされていることを指摘しました。

警告通知

ウェブサイトの警告

3月4日から5日の間に公式サイトからOS X 2.90用のTransmissionをインストールしたMacユーザーは、おそらく危険にさらされているでしょう。月曜日午前11時(太平洋標準時)(UTC午後7時)までに、クリーンでランサムウェアのない最新バージョンのTransmission(バージョン2.92)にアップグレードすれば、ファイルの暗号化を回避できるはずです。

悪意のあるコードはkernel_serviceというプロセス名を持ち、強制終了可能です。また、実行ファイルは~/Library/kernel_serviceに保存されますが、これは削除する必要があります。Transmission の最新の安全なバージョンである v2.92 には、KeRanger ランサムウェアを削除するためのツールが含まれています。

「3月4日、OS X用のTransmission BitTorrentインストーラーがランサムウェアに感染していることを、インストーラーが最初に公開されてからわずか数時間後に検出しました」とシャオ氏とチェン氏は書いている。

「FileCoder (以前の Mac ランサムウェア) は発見時点では不完全であったため、KeRanger は OS X プラットフォームで確認された最初の完全に機能するランサムウェアであると考えられます。

「トランスミッションの公式サイトが侵害され、ファイルが再コンパイルされた悪意のあるバージョンに置き換えられた可能性はあるが、この感染がどのように発生したかは確認できない。」

KeRanger の首謀者は、数日間待つのではなく、コマンド アンド コントロール サーバーを介して、ランサムウェアにファイルの暗号化を直ちに開始するよう命令する可能性があります。

KeRangerは、現在失効しているApple発行の開発者証明書を使用して暗号署名されていますが、OS XのGatekeeper保護システムでは引き続き受け入れられます。つまり、OS Xシステムが信頼できる開発者のソフトウェアのみを実行するように設定されている場合、KeRangerは開発者証明書で署名されているため起動が許可されます。Appleは、ダウンロードをスクリーニングし、悪意のあるコードをブロックするOS XのXProtectメカニズムに、このランサムウェアの署名を追加しました。

KeRangerには、OS X Time Machineのバックアップを暗号化する機能など、他にも潜在的な機能が含まれています。これにより、ユーザーはアーカイブからドキュメントを復元できなくなります。興味深いことに、マルウェアの実行ファイルはTransmission.®内の.RTF形式のREADMEファイルに紛れ込んでいました。

Tutorials

Smart Recommendations

Discover More