COMPTOIR
  
register

Composé par ————— —— 12417 vues

Mac OS X touché par un ransomware propagé par Transmission

Un nouveau type de malware fleurit de plus en plus sur le web, peut être en avez-vous entendu parler ou même l'avez-vous vécu, ce logiciel malveillant s'installe et chiffre toutes vos données puis vous réclame de l'argent pour vous rendre vos données. Tout le monde est touché, les serveurs des entreprises, les particuliers, les NAS (un épisode sur les Synology fut douloureux pour certains utilisateurs) et aujourd'hui se rajoutent les Mac.

 

Pas parce que l'OS est mauvais, et la sécurité de Mac OS X n'est pas remise en question mais le résultat reste le même : le parc est aussi touché. Comment cela est-il possible ? Comme le rapporte paloalto networks, le malware KeRanger s'est glissé dans des installeurs de Transmission dans sa version 2.90. Si vous êtes amateurs de torrent pour récupérer des images Debian par exemple, vous avez peut être téléchargé une install moisie qui a par conséquent installé le ransomware, qui va vous demander pas moins de 400$ pour vous rendre accès à votre Mac !

 

Gatekeeper a été mis à jour pour bloquer cette version particulière de Transmission 2.90 et Apple a révoqué le certificat en plus de mettre à jour XProtect. Le projet Transmission a fait le ménage et normalement les installeurs proposés ne sont plus vérolés. Comme souvent, la vulnérabilité vient d'un tiers et c'est ici Transmission en qui on a confiance lors de l'install, et qui est en fait troué. Il est important de sortir couvert se mettre à jour pour limiter les risques, Windows, Mac ou même Linux Mint comme on l'a vu récemment, nul n'est infaillible si l'attaquant passe par un tiers de confiance !

 

ransomware

Un poil avant ?

ASUS met à jour son AIO ET2231IUK à la sauce Windows 10

Un peu plus tard ...

Logitech et Intel sortent un kit de vidéoconférence complet, le ConferenceCam Kit

Les 21 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Un ragoteur Gaulois du Languedoc-Roussillon, le Mardi 08 Mars 2016 à 15h11  
par Un ragoteur qui draille de Rhone-Alpes le Mardi 08 Mars 2016 à 08h13
Il y a des preuves ou un test que ça fonctionne vraiment ?
Ben depuis que je l'utilise, je n'ai pas été rançonné. ça coute rien et c'est hyper léger, cependant, c'est uniquement préventif (ça ne répare pas un pc une fois qu'il est infecté ) et ça ne protège que contre certains types de ransomware.
par Un ragoteur qui draille du Nord-Pas-de-Calais, le Mardi 08 Mars 2016 à 11h40  
par UpsiloNIX le Lundi 07 Mars 2016 à 21h33
Ce que j'ai du mal à comprendre c'est pourquoi Transmission n'est pas lancé avec un utilisateur dédié ? J'ai fait cette config sur mon serveur, les utilisateurs ajoutés dans le groupe debian-transmission ont accès aux fichier en lecture/écriture. Mais transmission n'a accès qu'à ses fichiers et à ceux qui ont été téléchargés. Avec cette configuration un ransomware ne peut que chiffrer les torrents téléchargés au pire... Après c'est sur un Linux, mais la gestion des droits est plus ou moins la même sur Mac il me semble, non ?
Le problème c'est l'installation, même si tu fais tout ça, à l'install il peut tranquillement crypter tout ton fs accessible pour l'utilisateur qui "install" ton paquet
par Un ragoteur chatain embusqué, le Mardi 08 Mars 2016 à 10h13  
par UpsiloNIX le Lundi 07 Mars 2016 à 21h33
Après c'est sur un Linux, mais la gestion des droits est plus ou moins la même sur Mac il me semble, non ?
De mémoire, OS X est un fork de UNIX modifié par Apple, donc théoriquement oui.
par Flanker, le Mardi 08 Mars 2016 à 09h55  
J'ai l'impression que c'est que le début...
par thocathe, le Mardi 08 Mars 2016 à 08h31  
C'est une plaie ces ransomware, le beau-père y a eu droit par une pj de mail vérolé et en plus son DD de sauvegarde était branché au PC... Double fail
par Un ragoteur qui draille de Rhone-Alpes, le Mardi 08 Mars 2016 à 08h13  
par Un ragoteur qui aime les du Languedoc-Roussillon le Mardi 08 Mars 2016 à 03h17
Pour certains ransomware, y'a "Bitdefender Anti-Ransomware" qui est gratuit
Il tourne en tache de fond et ne consomme pas de ressources
Il y a des preuves ou un test que ça fonctionne vraiment ?
par Un rat goth à l'heure embusqué, le Mardi 08 Mars 2016 à 07h40  
Nan c'est impossible, y a pas de virus sur mac . Ben si c'est des PC comme les autres finalement, mais plus cher.
par Florian L., le Mardi 08 Mars 2016 à 06h33  
par UpsiloNIX le Lundi 07 Mars 2016 à 21h33
Ce que j'ai du mal à comprendre c'est pourquoi Transmission n'est pas lancé avec un utilisateur dédié ? J'ai fait cette config sur mon serveur, les utilisateurs ajoutés dans le groupe debian-transmission ont accès aux fichier en lecture/écriture. Mais transmission n'a accès qu'à ses fichiers et à ceux qui ont été téléchargés. Avec cette configuration un ransomware ne peut que chiffrer les torrents téléchargés au pire... Après c'est sur un Linux, mais la gestion des droits est plus ou moins la même sur Mac il me semble, non ?
Le problème ne vient pas de l'exécution du client mais de l'installation, où là niveau droits c'est openbar et c'est là que se répand la saleté.
par Un ragoteur qui aime les du Languedoc-Roussillon, le Mardi 08 Mars 2016 à 03h17  
Pour certains ransomware, y'a "Bitdefender Anti-Ransomware" qui est gratuit
Il tourne en tache de fond et ne consomme pas de ressources
par UpsiloNIX, le Lundi 07 Mars 2016 à 21h33  
par Un ragoteur midediouuuuu du Nord-Pas-de-Calais le Lundi 07 Mars 2016 à 20h31
Si tu chroot le client, tu as pu accès au FS donc pas choisir la destination de tes download.
Si tu chroot sur l'utilisateur tu peux plus utiliser d'appli système/dans le path. Le chroot ça a plus du sens quand tu fais des ftp ou t'as des logiciel qui doivent pas accéder à autre chose qu'eux même
Ce que j'ai du mal à comprendre c'est pourquoi Transmission n'est pas lancé avec un utilisateur dédié ? J'ai fait cette config sur mon serveur, les utilisateurs ajoutés dans le groupe debian-transmission ont accès aux fichier en lecture/écriture. Mais transmission n'a accès qu'à ses fichiers et à ceux qui ont été téléchargés. Avec cette configuration un ransomware ne peut que chiffrer les torrents téléchargés au pire... Après c'est sur un Linux, mais la gestion des droits est plus ou moins la même sur Mac il me semble, non ?
par Un rat goth à l'heure embusqué, le Lundi 07 Mars 2016 à 21h13  
par Florian L. le Lundi 07 Mars 2016 à 20h39
il a forcément installer/lancer un truc moisi malheureusement, au taff ça arrive régulièrement et ce sont des PJ foireuses : sauvegarde de rigueur régulière
A vrai dire c'est la fête au ransomware c'est temps ci et ils sont bien agressifs donc même en étant un utilisateur avertis on peut se faire avoir.
Ils exploitent des failles en tout genre dont Anger exploit / Freak pour se propager même à travers le SSL / TLS et se télécharge la plupart du temps à travers un javascript pouvant être présent dans une publicité. Donc bien entendu pour éviter ce genre de chose noscript + ublock par exemple mais même avec ça n'importe qui peut se faire avoir. J'ai été touché par Teslacrypt sans même savoir comment. Aucun mail vérolé ouvert, pas de pubs ou quoique ce soit, aucun des vecteurs d'attaques connus. Cependant Teslacrypt se propage très bien sur le réseau et j'ai dû être infecté par l'intermédiaire de mon DD partagé sur le réseau.
par L'Albinos, le Lundi 07 Mars 2016 à 20h46  
par Florian L. le Lundi 07 Mars 2016 à 20h39
il a forcément installer/lancer un truc moisi malheureusement, au taff ça arrive régulièrement et ce sont des PJ foireuses : sauvegarde de rigueur régulière
C'est ce que je pense aussi.