De kwaadaardige software die zich heeft ingenesteld in Transmission is speciaal ontworpen om op Macs wachtwoorden buit te maken. De malware, OSX/Keydnap genoemd, is namelijk gemaakt om inloggegevens te stelen die zijn opgeslagen in de zogeheten sleutelhanger (keychain) van OS X. Dat OS X-onderdeel bewaart echter niet alleen wachtwoorden van websites waar gebruikers accounts hebben.

App-accounts en backdoor

Sleutelhanger dient namelijk ook als digitale kluis voor de gebruikersnamen en wachtwoorden van apps en WiFi-netwerken die worden gebruikt op de bewuste Mac. Denk aan de ingebouwde e-mailclient Mail en muziekwinkel iTunes, maar ook aan apps van derden die een log-in vereisen. Verder faciliteert Apple met de koppeling aan iCloud-sleutelhanger synchronisatie met de inloggegevens op en van iOS-apparaten.

Keydnap heeft naast diefstal van accounts meer noten op zijn zang. De malware zorgt ervoor dat de geïnfecteerde Mac een permantente backdoor krijgt, zodat kwaadwillenden altijd weer binnen kunnen komen. Daarbij kunnen ze na verwijdering van de eigenlijke malware die opnieuw bezorgen, of juist andere malware binnenbrengen. De besmetting van Macs gebeurt doordat de malware stiekem zit ingebouwd in de bekende BitTorrent-client Transmission.

Wéér raak

Die software is door aanvallers voorzien van de malware waarna zij Transmission netjes hebben voorzien van digitale ondertekening. Hierdoor lijkt de besmette software dus in orde te zijn: ogenschijnlijk afkomstig van een vertrouwde partij, zoals de eigenlijke makers. De daders hebben wel een eigen digitale sleutel gebruikt voor de ondertekening van de besmette software. Deze verschilt dus van de sleutel van Transmission maar is wel een legitiem certificaat, waardoor Apple’s controle op digitale handtekeningen geen alarm slaat.

Gebruikers die Transmission ergens tussen 28 en 29 augustus hebben gedownload en geïnstalleerd hebben daarmee ook Keydnap in huis gehaald. Deze infectie is de tweede keer in nog geen half jaar dat Transmission is gepakt. In maart is de downloader voorzien van de KeRanger-malware, die bestanden versleutelt en dan losgeld eist. Voor Macs was dit het debuut van de plaag van ransomware, die andere platformen al geruime tijd teistert. Zo zijn Windows-pc’s, maar ook Android-toestellen en zelfs netwerkopslagsystemen (NAS-apparaten) al voor de bijl gegaan.

Via vertrouwde sites

De nieuwste besmetting van en via Transmission is ontdekt door onderzoekers van securitybedrijf ESET Research. Zij hebben Keydnap vorige maand al in het vizier gekregen, maar hadden toen nog geen inzicht in hoe de malware verspreid zou worden. “Het kan via attachments in spamberichten zijn, downloads van niet-vertrouwde websites, of iets anders”, schreven de security-experts in hun analyse toen. Nu blijkt dat downloads van een juist wel vertrouwde website een effectieve distributiemethode is voor de wachtwoordensteler.

ESET geeft nog instructies hoe Mac-gebruikers kunnen nagaan of hun computers zijn besmet met Keydnap. Zij moeten controleren op de aanwezigheid van de volgende bestanden of mappen op hun Macs:

/Applications/Transmission.app/Contents/Resources/License.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
$HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
$HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
$HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
/Library/Application Support/com.apple.iCloud.sync.daemon/
$HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

Verwijderen

Indien één of meer van deze bestanden en mappen wordt gevonden, dan is de besmette Transmission-app uitgevoerd en is Keydnap actief. Mac-gebruikers moeten het dan proberen te verwijderen, waarvoor ze terecht kunnen bij antivirus-apps van bekende namen als ESET, Symantec, Kaspersky, Trend Micro en McAfee.

Technieuwssite Gizmodo wijst nog op een alternatieve en gratis methode: een script dat is gepubliceerd op ontwikkelplatform GitHub waarmee Mac-gebruikers via de commandoregel (console) de malware kunnen wissen.