Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Transmission pour OS X contaminé par un ransomware : comment s’en débarrasser

Retour fracassé

Transmission pour OS X contaminé par un ransomware : comment s'en débarrasser

Le 07 mars 2016 à 08h09

Durant un court laps de temps, le client BitTorrent Transmission pour OS X a été contaminé par un ransomware. Celui-ci, KeRanger, est le premier à être réellement diffusé et fonctionnel sur cette plateforme. Il est recommandé de mettre à jour le logiciel aussi vite que possible.

La semaine dernière, nous indiquions que le client Transmission revenait en version 2.90 après près de deux ans sans aucun signe de vie. Les modifications et corrections sous le capot étaient particulièrement nombreuses, les utilisateurs étant sans doute satisfaits de voir revenir un logiciel connu pour sa légèreté, mais qui avait tendance à se bloquer sous El Capitan, notamment lors de l’arrêt d’un téléchargement.

Un site officiel piraté, un installeur contaminé

Cette version 2.90 a été publiée précisément le 28 février. Mais pendant plus d’une journée, du 4 mars à 11h00 au 5 mars à 19h00, l’installeur du logiciel a été contaminé par un ransomware, KeRanger. Le site web a été piraté, à la manière de celui de Linux Mint, aboutissant à la création d’un nouvel installeur, signé numériquement par un certificat authentique, et donc reconnu par la protection GateKeeper.

Une fois en place, KeRanger laisse un délai de trois jours à l’utilisateur avant de se manifester. Comme tout malware de ce type, il va chiffrer le contenu du disque dur et demander à la victime une rançon d’un bitcoin (environ 370 euros) pour lui rendre ses données. Premier ransomware vraiment fonctionnel, KeRanger n’est pour autant pas complètement opérationnel. La société Palo Alto Networks révèle ainsi qu’il tente de chiffrer les sauvegardes Time Machine, sans succès pour l’instant.

Transmission mis à jour et certificat révoqué

Le signal a été donné pendant le week-end. Dès samedi, des utilisateurs ont commencé à se poser la question, relevant des signes étranges dans leur logiciel. La récupération depuis le site officiel rendait l’ensemble particulièrement louche : les auteurs de Transmission avaient-ils tenté de contaminer les utilisateurs de leur client BitTorrent. Il s’est rapidement avéré que tel n’était pas le cas, et Apple a rapidement réagi par la suite en bloquant la reconnaissance du certificat utilisé.

Les développeurs de Transmission ont également supprimé l’installeur contaminé samedi soir. Dans la foulée, une version 2.91 a été proposée, puis une 2.92 hier, les deux étant bien entendu nettoyées de tout malware. Normalement, mettre à jour Transmission devrait ôter l’infection déjà en place en exécutant automatiquement les étapes décrites plus bas. D’autant qu’avec un délai de trois jours laissé à l’utilisateur, c’est bien aujourd’hui en fin de matinée que devraient se manifester les premiers cas de blocage.

On peut supprimer le ransomware

Palo Alto Research donne de son côté la marche à suivre pour se débarrasser du malware étape par étape. Même si vous avez installé Transmission 2.92, une vérification supplémentaire reste recommandée.

Il faut commencer par chercher le fichier « General.rtf » dans deux dossiers :

  • /Applications/Transmission.app/Contents/Resources/
  • /Volumes/Transmission/Transmission.app/Contents/Resources/

S’il est bien présent, il doit être supprimé. Il faut ensuite ouvrir le Moniteur d’activité et repérer un processus nommé « kernel_service ». S’il s’agit d’une version vérolée, vous trouverez dans ses propriétés, dans l’onglet « Fichiers et ports ouverts », la mention « /Users//Library/kernel_service ». Si tel est le cas, forcez le processus à quitter. Enfin, si les fichiers .kernel_pid, .kernel_time, .kernel_complete et .kernel_service se trouvent dans /Bibliothèque, ils doivent être supprimés également.

keranger transmission
Crédits : Palo Alto Networks

Les premiers cas dans les prochaines heures

Bien que la société de sécurité indique que ces mesures sont suffisantes, l’épreuve du feu commencera dans la journée.  Il faut espérer que le message aura été suffisamment relayé et que les utilisateurs de Transmission seront donc avertis. La notification de mise à jour de Transmission devrait en ce sens particulièrement aider.

On notera dans tous les cas que KeRanger est le premier ransomware fonctionnel diffusé avec cette ampleur sur OS X. L’ère de tranquillité est donc terminée pour la plateforme d’Apple, ce qui n’a rien d’étonnant : l’installation de ces malwares particuliers fait souvent appel à l’ingénierie sociale pour s’insinuer dans les machines, même si le piratage d’un site officiel est une méthode très efficace.

Commentaires (54)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Donc finalement le principe de l’Apple Store est le bon.

Toutes les installations doivent être payantes et doivent passer par l’Apple Store.

On voit clairement ici les conséquences d’une installation gratuite qui se fait sournoisement à partir du site insécurisé du développeur.



La grande majorité des infections se font via des logiciels tipiakés, des cracks, des logiciels open source, des freewares etc …



Si les utilisateurs ont pris la peine d’acheter un mac (qui est plus cher à hardware égal) c’est bien pour être à l’abri de ces petits soucis. Il suffit que payer quelques dizaines d’euros à Apple à chaque installation ou mise à jour pour être tranquille.

 

La sérénité n’a pas de prix.

votre avatar

@picatrix

 Bof, je ne suis pas d’accord avec ce raisonnement.

Rien ne t’empêche d’installer que des logiciels venant de l’Apple Store. Il faut laisser la liberté à ceux qui la veule.



Sinon, ce type d’attaque, son premier vecteur est la pièce jointe vérolée… Donc attention !

votre avatar

C’est un troll hein <img data-src=" />



AppStore ne veut pas dire payant donc…

votre avatar







tazvld a écrit :



Au vu des utilisateurs de mac, je crains qu’une très faible proportion soit au courant et soit capable de réaliser les manipulation demandé à temps. Après il faut voir si transmission était encore populaire.



Bon, je prépares mes tonneaux de larmes d’utilisateurs.





Pour info la 2.92 supprime le malware installé par la 2.90, anéantissant de fait sa nuisibilité même auprès d’utilisateurs peu chevronnés.

Rappelons aussi que la version vérolée n’a été disponible que pendant un cour lapse de temps et qu’elle n’était pas disponible sous forme de mise à jour automatique, mais d’application complète, ce qui limite énormément le nombre théorique de personnes touchées.&nbsp;



Quand à tes dires sur les utilisateurs de Mac, je dirais que propager de telles idées reçues ne donne pas trop l’impression que l’intelligence soit dans l’autre camps.&nbsp;<img data-src=" />


votre avatar







jeffster a écrit :



au vu des utilisateurs de mac qui utilisent un client torrent que pense que si ,

on se fait pas mal d’idée recue sur l’utilisateur de mac







Des utilisateurs mac qui installent un client torrent, certe il n’y en pas pas des masse (proportionnellement moins que sous Windows), cependant ceux ci ne sont pas forcément coller sur les news, et la première news FR que j’ai vu date d’hier soir, donc un peu court pour que ces personnes sont prévenu à temps ce matin.

La dessus, la communauté Linux est plus généralement réactive que les autres communautés.







PèrePatience a écrit :



@picatrix

 Bof, je ne suis pas d’accord avec ce raisonnement.

Rien ne t’empêche d’installer que des logiciels venant de l’Apple Store. Il faut laisser la liberté à ceux qui la veule.



Sinon, ce type d’attaque, son premier vecteur est la pièce jointe vérolée… Donc attention !





Il pêche à la dynamique, mais certaind mordent quand même.


votre avatar

Tu t’améliores mais là tu es monté trop haut trop vite dans le troll…



<img data-src=" />

votre avatar

Oui mais je pense à tous ceux qui liraient son message et qui ne distingue pas la notion de troll ;)



Nous en sommes à notre 3 ème crypto sur des postes users. Je préfère encore et encore répéter d’être vigilant :)

votre avatar







tazvld a écrit :



Des utilisateurs mac qui installent un client torrent, certe il n’y en pas pas des masse (proportionnellement moins que sous Windows), cependant ceux ci ne sont pas forcément coller sur les news, et la première news FR que j’ai vu date d’hier soir, donc un peu court pour que ces personnes sont prévenu à temps ce matin.

La dessus, la communauté Linux est plus généralement réactive que les autres communautés.





d’ou tiens tu ces généralités ?&nbsp;

c’est pas que j ‘ai un doute, mais je voudrais pas qu’on confonde son opinion avec un fait établi, les chiffres sur lesquels tu t’appuies mériteraient d’être connus non ?

c’est pas pour t’embêter hein , c’est juste que ca rentre en contradiction avec ce que j’observe autours de moi : les “noobs” et autres Mme Michu sont sur PC ( sous entendu windows ), et ne savent toujours pas ce qu’est un torrent.

Et a contrario les mac user autours de moi son plutot des gens avertis, passionnés ( sans être non plus forcement des guru unix ).


votre avatar

troll ou pas, quand les installeurs d’OSX fournis par le store ont des certificats périmés, c’est le bazar aussi <img data-src=" />

votre avatar

Apparemment les fichiers&nbsp;.kernel_pid, .kernel_time, .kernel_complete et .kernel_service sont dans &nbsp;~/Library, pas dans /Library.

votre avatar







Zulgrib a écrit :



Mise à part ça, les logiciels malicieux sur mac osx ça n’existe pas.





Déjà “malicious” ne veut pas dire “malicieux” mais “malveillant”, ensuite on se passe très bien de ce genre de provocation&nbsp;<img data-src=" />


votre avatar







jb18v a écrit :



troll ou pas, quand les installeurs d’OSX fournis par le store ont des certificats périmés, c’est le bazar aussi <img data-src=" />





La gestion d’une PKI, toujours un bonheur <img data-src=" />


votre avatar







Vincent_H a écrit :



Déjà “malicious” ne veut pas dire “malicieux” mais “malveillant”, ensuite on se passe très bien de ce genre de provocation&nbsp;<img data-src=" />





Surtout qu’on parle ici d’un ransomware. Objet particulièrement rare sous MacOS et c’est d’ailleurs rappelé très justement dans le blog de Palo Alto: “The only previous ransomware for OS X we are aware of is FileCoder,

discovered by Kaspersky Lab in 2014. As FileCoder was incomplete at the

time of its discovery, we believe KeRanger is the first fully

functional ransomware seen on the OS X platform.”

&nbsp;


votre avatar

Oui, c’est pour ça que je mettais en avant l’aspect “fonctionnel” dans l’actu, c’était pas la première fois dans l’absolu, mais c’était quand même la première qu’une bestiole de ce genre fonctionnait

votre avatar

Sans même parler du fait qu’il faut tout désactiver sur OS X, sans quoi X11 ne fonctionne pas, Wineskin non plus, bref faut se balader à poil pour avoir un ordi fonctionnel. leur secure je sais plus quoi, c’est la première chose que j’ai du vireré depuis la dernière mise à jour. En tout cas, merci de l’article, j’allais justement installer Transmission.





Aussi, Malwarebyte existe sur OS X en gratuit, leur liste est à jour en principe.

votre avatar

370 € pour des Mac users c’est rien du tout, autant payer&nbsp;<img data-src=" />

votre avatar

tout à fait. Cet article relève de la calomnie <img data-src=" />

votre avatar

Euhhh…

Je ne sais pas comment procède Transmission pour se mettre à jour.

En tout cas il est toujours bon de vérifier ;)

votre avatar

Moi je vous dis, gaf à ceux qui installerons le package Transmission sur les NAS Synology&nbsp;<img data-src=" />

votre avatar

<img data-src=" /> c’est normal d’être réactif quand on est si peu nombreux.&nbsp;

votre avatar

Il est installé de base non ? normalement les MAJ ne sont pas auto sur un Syno.&nbsp;&nbsp;



Normalement l’admin du syno n’est pas un end-user lambda, je ne suis pas trop inquiet.

votre avatar

Il y a belles lurettes que j’utilise plus Transmission mais plutôt uTorrent.



Après ça troll quand même sévère par ici lol



Après si le bouzin arrive pas à crypter la TM suffit d’en réinstaller une antérieur à la date de téléchargement de transmission pour récupérer sa machine non? Galère de perdre 1h à la restauration mais toujours mieux que racker 370€ à des baltringues.

votre avatar

A l’inverse … Dans mes connaissance pro + particulier mac “ c’est joli et facile a utiliser” et ce sont très loin d’être des gens averti de l’informatique..

votre avatar

Non c’est un package à installer depuis le dépôt ;)

Mais même un chevronné peut se faire avoir par cette usurpation d’identité :(

votre avatar







jeffster a écrit :



d’ou tiens tu ces généralités ? 

c’est pas que j ‘ai un doute, mais je voudrais pas qu’on confonde son opinion avec un fait établi, les chiffres sur lesquels tu t’appuies mériteraient d’être connus non ?

c’est pas pour t’embêter hein , c’est juste que ca rentre en contradiction avec ce que j’observe autours de moi : les “noobs” et autres Mme Michu sont sur PC ( sous entendu windows ), et ne savent toujours pas ce qu’est un torrent.

Et a contrario les mac user autours de moi son plutot des gens avertis, passionnés ( sans être non plus forcement des guru unix ).





La seul chose que j’ai dit pour les utilisateurs Windows, c’est qu’il y a plus de chance qu’ils aient un client torrent qu’un utilisateur mac, ne serait-ce que pour les jeux PC piraté (tu n’achètes pas un mac pour jouer, ou alors tu es très con).

Ensuite, j’ai surtout comparer cette communauté à la communauté de linux qui sont généralement des hard core passionné (ils ont fait eux même le choix conscient d’installer avec les emmerdes qui vont avec leur OS et pas simplement aller au magasin du coins parce qu’on lui a dit que c’était mieux).

Il suffit de demander ici qui est sur linux pour se rendre compte de la surreprésentation de cette dernière catégorie dans un site d’actualité de nouvelles technologie (ils me semblaient que NxI faisait régulièrement des stats la dessus, je n’ai rien trouvé…. mwarf, au pire il y a une façon simple : “Emacs c’est de la merde, VIm est meilleur”).


votre avatar

nano vaincra!

votre avatar

Le Download Station de Synology utilise le daemon transmission pour télécharger les torrents.



Mais effectivement, on peut aussi installer un Transmission “pur” via les dépôts. Initialement je crois que c’était uniquement dans les dépôts Community, mais c’est peut-être passé dans les officiels ?

votre avatar







freechelmi a écrit :



Prochaine étapes pour ces hackers, violer les depots debian ?







\begin{ <img data-src=" /> façon SR 17}



Pour quoi faire ? Debian c’est rien que des paquets obsolètes maintenus par une secte de libristes intégristes coupés de la réalité, et qui n’écoutent pas les utilisateurs !



\end{ <img data-src=" /> façon SR 17}



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Au passage, ça n’a pas que des inconvénients de ne pas se jeter sur la nouveauté dès que c’est dispo…


votre avatar







Commentaire_supprime a écrit :



Au passage, ça n’a pas que des inconvénients de ne pas se jeter sur la nouveauté dès que c’est dispo…





Sauf à la plage quand la nouveauté c’est des gonzesses en maillot de bain <img data-src=" />


votre avatar







Elwyns a écrit :



A l’inverse … Dans mes connaissance pro + particulier mac “ c’est joli et facile a utiliser” et ce sont très loin d’être des gens averti de l’informatique..





oui ce que je me suis bien gardé de généraliser, parce qu’avec les “on sait bien que” et les “c’est bien connu” on fini par insidieusement mettre des choses fausses dans la tête des gens, mais si , j’ai lu ca quelque part :)&nbsp;

même si l’actu n’est pas extrêmement grave en soi , amha , ca va concerner très peu de monde ,

non pas parce que :

les utilisateurs de mac sont à l’abri des virus et malware ( idée recue )

ou ne sont pas des clients du peer to peer par bitorrent ( autre idée recue ) , les mac users de mon entourage son des anciens PCistes pour une énorme majorité, il n’ont jamais rien connu d’autre que les Mac Intel, donc tout ce qu’ils faisaient avant sous windows ils le font aujourd’hui sur mac.

mais tout simplement à cause du ratio Mac / PC, même si les mac on eu un succès honorable ces dernière années je pense pas que la tendance va changer.&nbsp;

&nbsp;&nbsp;


votre avatar

Je comprends pas qu’on puisse utiliser uTorrent, farci de spyware sur mac comme PC (browserbar et cie)&nbsp;

Transmission malgré cet incident indépendant de leur volonté est libre, fonctionne en remote, a une interface native sur chaque plate-forme etc (et pas du java tout pété).&nbsp;&nbsp;



PS : signé un utilisateur mac qui ne se reconnait pas, et ne reconnais pas ses amis utilisateurs de macs dans la plupart des commentaires stéréotypés qu’on peut lire ici ^^ &nbsp; Un utilisateur mac est souvent un véritable amateur d’informatique au contraire de la plupart des utilisateurs windows qui sont “obligés”. (boulot toussah)

votre avatar

Gatekeeper bloque le virus depuis deux jours. Les chances d’être infecté sont donc très très limités …&nbsptwitter.com Twitter

votre avatar







Vincent_H a écrit :



Déjà “malicious” ne veut pas dire “malicieux” mais “malveillant”, ensuite on se passe très bien de ce genre de provocation&nbsp;<img data-src=" />





C’est de bonne guerre je trouve, dans le débat trollesque Mac vs PC, cet argument a trop été utilisé pour que personne ne se permette d’en rigoler aujourd’hui, non ?&nbsp;



Enfin, ce qui est inquiétant c’est que nombre d’utilisateurs Mac sont persuadés d’être à l’abri juste parce qu’ils sont sur Mac … ce qui en fait des cibles faciles.

&nbsp;(Sans aucun troll, je veux juste dire qu’ils sont moins méfiant que les mecs qui ont déjà vu leur machine Windows à genoux des dizaines de fois ;) )


votre avatar

C’est à deux vitesses ça aussi.

votre avatar

Souvent c’est vite dit, quand je viens retirer des logiciels/extensions publicitaires, c’est souvent les utilisateurs mac qui sont les plus perdus, je pense que ça dépends surtout des gens qui t’entourent, indépendamment de leurs système favoris.

votre avatar

Ceux qui ont le temps, la patience, peuvent faire depuis les sources … (et esquivent ce genre de problèmes… jusqu’à que quelqu’un mette la main sur un compte qui a les accès en écriture sur le git)

votre avatar

Visiblement ce n’est pas l’année Apple.

&nbsp;




  • erreur 53

  • feuilleton backdoor FBI

  • la mise à jour (silencieuse) du OSX kernel 3.28.1 qui tue le réseau (réparé avec la 3.28.2 toujours silencieuse)

  • Palmer Luckey (PDG d’occulus) qui déclare : “si jamais un jour Apple fait un BON ordinateur nous supporterions le Rift sur les mac”

  • le ransomware ici



    ça commence à faire beaucoup, non ?

votre avatar

Et donc ? Des gens impactés finalement ?

votre avatar

Le certificat en question n’était pas celui de Transmission n’est-ce pas ? Cela veut dire que n’importe quel dev peut signer n’importe quelle appli ?

votre avatar







CryoGen a écrit :



Le certificat en question n’était pas celui de Transmission n’est-ce pas ? Cela veut dire que n’importe quel dev peut signer n’importe quelle appli ?







Oui c’est exactement comme cela que ça fonctionne :/ D’un coté les projets open source seraient plus difficile a faire tourner s’ils étaient lié à un seul compte developer apple (encore que la protection se desactive)


votre avatar

Comment s’en prémunir:




  • désactiver les mises à jour automatique

  • faire régulièrement les mises à jour de sécurité (check à chaque lancement d’application mais pas entre temps)

  • ne pas faire de mise à jour cosmétiques sauf pour corriger un but déjà rencontré.



    Bon, quand c’est des mises à jour majeures c’est comme plus comme une fresh install.

votre avatar







skan a écrit :





  • désactiver les mises à jour automatique







    Si j’ai bien compris ici il n’y a que les nouvelles installations qui ont été contaminées et pas les maj non?


votre avatar

Au vu des utilisateurs de mac, je crains qu’une très faible proportion soit au courant et soit capable de réaliser les manipulation demandé à temps. Après il faut voir si transmission était encore populaire.



Bon, je prépares mes tonneaux de larmes d’utilisateurs.

votre avatar

Le pirate (ou groupe) qui a fait ça était vraiment bien préparé. Soit il savait quand Transmission allait publier sa mise à jour, soit il a profité de l’occasion pour agir vite, mais il a dans tous les cas parfaitement réussi à contourner tous les systèmes de protection en un temps record.

votre avatar







creatix a écrit :



Oui c’est exactement comme cela que ça fonctionne :/ D’un coté les projets open source seraient plus difficile a faire tourner s’ils étaient lié à un seul compte developer apple (encore que la protection se desactive)





Ok mais je me disais qu’un certificat pour le logiciel pourrait être attribué, lié à un hash ou autre de l’installateur et de ses fichiers, ce qui éviterait ce genre d’aventure. Cela dit je ne sais pas si c’est faisable.


votre avatar

C’est ce que j’aimerai savoir également. Est-ce qu’on peut être affecté quand on a fait la mise à jour automatique en début de semaine ? J’ai suivi les instructions de NextInpact pour savoir si j’étais infecté, mais je n’ai rien trouvé correspondant à ce qui est indiqué, donc je suppose que mon ordi est “safe” mais bon, je préfère en être certain…

votre avatar







tazvld a écrit :



Au vu des utilisateurs de mac, je crains qu’une très faible proportion soit au courant et soit capable de réaliser les manipulation demandé à temps. Après il faut voir si transmission était encore populaire.



Bon, je prépares mes tonneaux de larmes d’utilisateurs.







C’est ce que je pensais aussi… Mais bon “instant karma” les utilisateurs de Transmission sous Mac ne téléchargeant pas de distrib linux, c’est que ce sont de vilains pirates <img data-src=" />







gokudomatic a écrit :



Le pirate (ou groupe) qui a fait ça était vraiment bien préparé. Soit il savait quand Transmission allait publier sa mise à jour, soit il a profité de l’occasion pour agir vite, mais il a dans tous les cas parfaitement réussi à contourner tous les systèmes de protection en un temps record.





Oui franchement bien joué de leur part. Un logiciel bien connu, qui souffre (souffraient) de problème sur la plateforme visée et sans mises à jour depuis assez longtemps pour que tout le monde en parle et se rue dessus… plus le délais de 3 jours pour maximiser la diffusion. Chapeau.


votre avatar

Reste à savoir si il a vraiment été installé de nombreuses fois… c’est pas comme si il n’y en avait pas d’autres, depuis le temps ceux qui voulaient vraiment un client à jour sont passé à autre chose ou on simplement fait la maj qui ne soufre à priori pas du problème.


votre avatar







gokudomatic a écrit :



Le pirate (ou groupe) qui a fait ça était vraiment bien préparé. Soit il savait quand Transmission allait publier sa mise à jour, soit il a profité de l’occasion pour agir vite, mais il a dans tous les cas parfaitement réussi à contourner tous les systèmes de protection en un temps record.





C’est probablement un rebondissement sur un événement oui. “Dommage” pour lui d’avoir attendu plusieurs jours, parce qu’il a raté la grosse vague des téléchargements du coup.


votre avatar







tazvld a écrit :



Au vu des utilisateurs de mac, je crains qu’une très faible proportion soit au courant et soit capable de réaliser les manipulation demandé à temps.&nbsp;

&nbsp;



au vu des utilisateurs de mac qui utilisent un client torrent que pense que si ,

on se fait pas mal d’idée recue sur l’utilisateur de mac&nbsp;


votre avatar

de ce que j’ai compris, si tu as fait la mise à jour via le soft, pas de risque, c’est uniquement en téléchargeant le dmg depuis le site le 45 mars.<img data-src=" />

votre avatar

Mise à part ça, les logiciels malicieux sur mac osx ça n’existe pas.

votre avatar

Prochaine étapes pour ces hackers, violer les depots debian ? avec les signatures de build , ça devrait être plus difficile ?

votre avatar

En effet, le logiciel mis à jour via son updater n’est pas infecté. C’était seulement l’installeur depuis le site.

Transmission pour OS X contaminé par un ransomware : comment s’en débarrasser

  • Un site officiel piraté, un installeur contaminé

  • Transmission mis à jour et certificat révoqué

  • On peut supprimer le ransomware

  • Les premiers cas dans les prochaines heures

Fermer