Transmission-app voor Mac bevat malware, eerste ransomware voor Mac

De nieuwste versie van Transmission voor Mac blijkt te zijn besmet met malware. De ontwikkelaar heeft inmiddels een update uitgebracht voor getroffen gebruikers. Het blijkt te gaan om de eerste ransomware voor de Mac.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

De Transmission-app voor de Mac kreeg onlangs voor het eerst in twee jaar weer een update. Maar de vreugde onder gebruikers is van korte duur: uitgerekend versie 2.90 blijkt malware te bevatten. Je kunt dus beter blijven hangen op versie 2.84 of meteen doorgaan naar de inmiddels uitgebrachte update 2.91. Het directe gevaar is dus geweken, maar de app heeft wel een knauw in het imago gekregen. Het zou gaan om KeRanger-malware, de eerste vorm van ransomware voor de Mac.

Bekijk ook

Transmission op de Mac.

BitTorrent-app Transmission voor Mac heeft grootste update sinds twee jaar

De BitTorrent-app Transmission voor de Mac heeft een flinke update gekregen. De app is bijgewerkt voor de recente versies van OS X en biedt enkele nieuwe functies. Voor gebruikers van OS X 10.6 Snow Leopard is er echter minder goed nieuws.

Malware in Transmission

Het probleem werd ontdekt door bezoekers van Reddit, die onderstaande melding te zien kregen. Gelukkig wordt KeRanger gesignaleerd door XProtect, de standaard aanwezige antivirus op de Mac.

Update 7 maart: in ons artikel over KeRanger lees je meer informatie over mogelijke besmetting en hoe je jezelf kunt beschermen.

Bekijk ook

Zo werkt KeRanger, de eerste ransomware voor de Mac

KeRanger is de eerste ransomware voor de Mac, dat in het wild opdook via de Transmission-software. In dit artikel lees je wat KeRanger is en hoe je jezelf beschermt.

Update 8 maart: Inmiddels is bekend dat er is ingebroken op de belangrijkste server van het bedrijf. Daarbij werden de normale disk-images vervangen door exemplaren waarmee was geknoeid. De besmette installer zou zo’n 6.500 keer zijn gedownload.

Transmission 2.91 voor Mac

De ontwikkelaar meldt:

Immediately update to 2.91 or delete your copy of 2.0. Some copies of 2.90 were infected by malware.

Niet alle gebruikers zullen dus zijn getroffen door het malware-probleem. Wil je weten welke versie jij hebt, zonder de app zelf te openen, blader dan in de Finder naar Programma’s > Transmission. Doe een Ctrl-klik en kies ‘Meer info’ om te kijken welke versie jij hebt. Gebruik je nog 2.84 dan is er niets aan de hand. Ben je getroffen, dan moet je zo snel mogelijk updaten naar 2.91 via de update die de ontwikkelaar beschikbaar stelt.

Helaas hebben de makers van Transmission niet aangegeven aan welke gevaren je blootstaat en om welke malware het gaat. Inmiddels heeft een extern beveiligingsbedrijf meer opheldering gegeven: het gaat om ransomware met de naam KeRanger, waarbij de inhoud van je Mac-harddisk wordt versleuteld.

Transmission op de Mac.

Versie 2.91 van Transmission kun je downloaden vanaf de website van de ontwikkelaar. Vorige keer zeiden we te hopen dat de gebruikers niet normaals twee jaar moeten wachten op de eerstvolgende update, maar dat het al zo snel zo plaatsvinden is toch wel een verrassing.

Eerste ransomware voor de Mac

Beveiligingsonderzoekers van Palo Alto Networks hebben Reuters verteld dat ‘OSX.KeRanger.A’ ransomware is. Het zou de eerste keer zijn dat de Mac wordt getroffen door ransomware. Bij deze boosaardige software worden de bestanden op een computer versleuteld en krijg je pas weer toegang na betaling. De betaling moet meestal plaatsvinden in digitale geldsoorten, die moeilijk te traceren zijn. De malware zou na drie dagen actief worden.

Ransomware is een van de snelst groeiende bedreigingen op internet. Palo Alto-directeur Ryan Olson zegt over KeRanger:

Dit is de eerste in het wild, dat daadwerkelijk functioneel is, je bestanden versleutelt en vraagt om losgeld.

Meer informatie vind je bij Palo Alto Networks.

Revisiegeschiedenis:

  • 2016 - 08 maart: Cijfer van 6.500 downloads en oorzaak van besmetting toegevoegd.

Reacties: 18 reacties

  1. Had 2.90 draaien, maar gelukkig geen teken van die “kernel_service”…

  2. Het lijkt erop dat de installers die je op de website van Transmission kon downloaden zijn besmet. Dus als je geupdate hebt van 2.84 naar 2.90 ben je hoogstwaarschijnlijk de dans ontsprongen (*maar updaten naar 2.91 is sowieso raadzaam!*).
    Meer info vind je overigens hier.

  3. “Update: It looks like the general consensus is users who updated within the app weren’t affected, but those who downloaded from the website may be. “

    (van de bewuste reddit-pagina)

  4. Bittorrent? Eigen schuld.

  5. Origineel geplaatst door Frits
    Bittorrent? Eigen schuld.

    Da’s wel héél kort door de bocht. Er is zat legaal spul dat via dit protocol gedownload kan worden.

  6. Ondertussen is versie 2.92 al te downloaden

  7. @Frits: Onderbouw dat eens.

  8. Origineel geplaatst door Frits
    Bittorrent? Eigen schuld.

    Origineel geplaatst door Mark Veldhuis
    Da’s wel héél kort door de bocht. Er is zat legaal spul dat via dit protocol gedownload kan worden.

    Sure… wink wink

    Hahaha!

  9. Waaw… Ik werd al nerveus omdat ik zelf ook Transmission gebruik, maar blijkbaar zijn het alleen de installers. Ik hoop dat Apple de veiligheid van OSX gaat verbeteren, anders verlies Apple een van de sterke punten van haar besturingssysteem.

  10. Misschien stomme vraag, maar ik had versie 2.90 van Transmission dus ook op mijn Mac staan.. En zenuwachtig als ik was, heb ik Transmission er gelijk afgegooid en gecheckt wat er allemaal draaide. Nu staat er “kernel_task”, maar ik neem aan dat dit niet hetzelfde is als “kernel_service”? Is het raadzaam om dit te stoppen? Kan je dit überhaupt zomaar stoppen of zit ik dan echt met de grondvesten van mijn Mac te prutsen?

  11. Stappenplan mocht je nog 2.90 hebben:

    Users who have directly downloaded Transmission installer from official website after 11:00am PST, March 4, 2016 and before 7:00pm PST, March 5, 2016, may be been infected by KeRanger. If the Transmission installer was downloaded earlier or downloaded from any third party websites, we also suggest users perform the following security checks. Users of older versions of Transmission do not appear to be affected as of now.
    We suggest users take the following steps to identify and remove KeRanger holds their files for ransom:

    Using either Terminal or Finder, check whether /Applications/Transmission.app/Contents/Resources/ General.rtf or /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf exist. If any of these exist, the Transmission application is infected and we suggest deleting this version of Transmission.

    Using “Activity Monitor” preinstalled in OS X, check whether any process named “kernel_service” is running. If so, double check the process, choose the “Open Files and Ports” and check whether there is a file name like “/Users//Library/kernel_service” (Figure 12). If so, the process is KeRanger’s main process. We suggest terminating it with “Quit -> Force Quit”.

    After these steps, we also recommend users check whether the files “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service” existing in ~/Library directory. If so, you should delete them.

  12. Origineel geplaatst door Jelle Zwiers
    Waaw… Ik werd al nerveus omdat ik zelf ook Transmission gebruik, maar blijkbaar zijn het alleen de installers. Ik hoop dat Apple de veiligheid van OSX gaat verbeteren, anders verlies Apple een van de sterke punten van haar besturingssysteem.

    Dat is een zijde van de medaille. Tweede punt is dat je een risico loopt bij gebruik van software uit andere bronnen. Als laatste: de grootst flauw is nog steeds de gebruikerT zelf…. Om op deze twee punten nu Apple af te rekenen.

  13. @mhoutman: Wat ik zelf wel vaag vindt in deze.
    Ik had ook de 2.90 geïnstalleerd.
    Als ik kijk bij de activiteiten zie ik de kernal_service draaien.

    Maar kan hem niet stoppen omdat hij onder root draait.

    Ook kan ik de malware bestanden niet vinden dus denk ik dat ik goed zit maar ga het vanmiddag maar ff uitzoeken.

    Voor de zekerheid maar ff de imac uitgezet en ook timemachine.

  14. @Freaky: Ik zou de link die onderaan het artikel wordt gegeven even goed doorlezen. Ik heb ook de 2.90 versie gehad (nu geüpdate) en niet deze kernal_service draaiende.

  15. Origineel geplaatst door Jesper
    @Freaky: Ik zou de link die onderaan het artikel wordt gegeven even goed doorlezen. Ik heb ook de 2.90 versie gehad (nu geüpdate) en niet deze kernal_service draaiende.

    Sommige systeem processen lopen ook onder de kernal_service taak dus het kan wel heb ik al gevonden.

    Maar de aangepaste foute versie moet te stoppen zijn wat bij die van mij niet mogenlijk is.

  16. Had hier ook 2.90 maar nergens de kernal_service gevonden en ook de General.rtf niet. Oef …

    Dus vlug de update gedaan en hopelijk vrij van malware.

  17. Origineel geplaatst door Jean-Paul Horn
    @Fedat: Ik heb eergisteren nog BitTorrent gebruikt om volkomen legaal de Raspbian Jessie firmware voor de Raspberry Pi op te halen. Misschien toch jezelf eens informeren in plaats van vooringenomen te reageren.

    Dankjewel! Niet alles is gelijk illegaal! Zegt overigens meer over hem dan over in dit geval “ons”