Durant un court laps de temps, le client BitTorrent Transmission pour OS X a été contaminé par un ransomware. Celui-ci, KeRanger, est le premier à être réellement diffusé et fonctionnel sur cette plateforme. Il est recommandé de mettre à jour le logiciel aussi vite que possible.
La semaine dernière, nous indiquions que le client Transmission revenait en version 2.90 après près de deux ans sans aucun signe de vie. Les modifications et corrections sous le capot étaient particulièrement nombreuses, les utilisateurs étant sans doute satisfaits de voir revenir un logiciel connu pour sa légèreté, mais qui avait tendance à se bloquer sous El Capitan, notamment lors de l’arrêt d’un téléchargement.
Un site officiel piraté, un installeur contaminé
Cette version 2.90 a été publiée précisément le 28 février. Mais pendant plus d’une journée, du 4 mars à 11h00 au 5 mars à 19h00, l’installeur du logiciel a été contaminé par un ransomware, KeRanger. Le site web a été piraté, à la manière de celui de Linux Mint, aboutissant à la création d’un nouvel installeur, signé numériquement par un certificat authentique, et donc reconnu par la protection GateKeeper.
Une fois en place, KeRanger laisse un délai de trois jours à l’utilisateur avant de se manifester. Comme tout malware de ce type, il va chiffrer le contenu du disque dur et demander à la victime une rançon d’un bitcoin (environ 370 euros) pour lui rendre ses données. Premier ransomware vraiment fonctionnel, KeRanger n’est pour autant pas complètement opérationnel. La société Palo Alto Networks révèle ainsi qu’il tente de chiffrer les sauvegardes Time Machine, sans succès pour l’instant.
Transmission mis à jour et certificat révoqué
Le signal a été donné pendant le week-end. Dès samedi, des utilisateurs ont commencé à se poser la question, relevant des signes étranges dans leur logiciel. La récupération depuis le site officiel rendait l’ensemble particulièrement louche : les auteurs de Transmission avaient-ils tenté de contaminer les utilisateurs de leur client BitTorrent. Il s’est rapidement avéré que tel n’était pas le cas, et Apple a rapidement réagi par la suite en bloquant la reconnaissance du certificat utilisé.
Les développeurs de Transmission ont également supprimé l’installeur contaminé samedi soir. Dans la foulée, une version 2.91 a été proposée, puis une 2.92 hier, les deux étant bien entendu nettoyées de tout malware. Normalement, mettre à jour Transmission devrait ôter l’infection déjà en place en exécutant automatiquement les étapes décrites plus bas. D’autant qu’avec un délai de trois jours laissé à l’utilisateur, c’est bien aujourd’hui en fin de matinée que devraient se manifester les premiers cas de blocage.
On peut supprimer le ransomware
Palo Alto Research donne de son côté la marche à suivre pour se débarrasser du malware étape par étape. Même si vous avez installé Transmission 2.92, une vérification supplémentaire reste recommandée.
Il faut commencer par chercher le fichier « General.rtf » dans deux dossiers :
- /Applications/Transmission.app/Contents/Resources/
- /Volumes/Transmission/Transmission.app/Contents/Resources/
S’il est bien présent, il doit être supprimé. Il faut ensuite ouvrir le Moniteur d’activité et repérer un processus nommé « kernel_service ». S’il s’agit d’une version vérolée, vous trouverez dans ses propriétés, dans l’onglet « Fichiers et ports ouverts », la mention « /Users//Library/kernel_service ». Si tel est le cas, forcez le processus à quitter. Enfin, si les fichiers .kernel_pid, .kernel_time, .kernel_complete et .kernel_service se trouvent dans /Bibliothèque, ils doivent être supprimés également.
Les premiers cas dans les prochaines heures
Bien que la société de sécurité indique que ces mesures sont suffisantes, l’épreuve du feu commencera dans la journée. Il faut espérer que le message aura été suffisamment relayé et que les utilisateurs de Transmission seront donc avertis. La notification de mise à jour de Transmission devrait en ce sens particulièrement aider.
On notera dans tous les cas que KeRanger est le premier ransomware fonctionnel diffusé avec cette ampleur sur OS X. L’ère de tranquillité est donc terminée pour la plateforme d’Apple, ce qui n’a rien d’étonnant : l’installation de ces malwares particuliers fait souvent appel à l’ingénierie sociale pour s’insinuer dans les machines, même si le piratage d’un site officiel est une méthode très efficace.
Commentaires (54)
#1
Le certificat en question n’était pas celui de Transmission n’est-ce pas ? Cela veut dire que n’importe quel dev peut signer n’importe quelle appli ?
#2
#3
Comment s’en prémunir:
Bon, quand c’est des mises à jour majeures c’est comme plus comme une fresh install.
#4
#5
Au vu des utilisateurs de mac, je crains qu’une très faible proportion soit au courant et soit capable de réaliser les manipulation demandé à temps. Après il faut voir si transmission était encore populaire.
Bon, je prépares mes tonneaux de larmes d’utilisateurs.
#6
Le pirate (ou groupe) qui a fait ça était vraiment bien préparé. Soit il savait quand Transmission allait publier sa mise à jour, soit il a profité de l’occasion pour agir vite, mais il a dans tous les cas parfaitement réussi à contourner tous les systèmes de protection en un temps record.
#7
#8
C’est ce que j’aimerai savoir également. Est-ce qu’on peut être affecté quand on a fait la mise à jour automatique en début de semaine ? J’ai suivi les instructions de NextInpact pour savoir si j’étais infecté, mais je n’ai rien trouvé correspondant à ce qui est indiqué, donc je suppose que mon ordi est “safe” mais bon, je préfère en être certain…
#9
#10
Reste à savoir si il a vraiment été installé de nombreuses fois… c’est pas comme si il n’y en avait pas d’autres, depuis le temps ceux qui voulaient vraiment un client à jour sont passé à autre chose ou on simplement fait la maj qui ne soufre à priori pas du problème.
#11
#12
#13
de ce que j’ai compris, si tu as fait la mise à jour via le soft, pas de risque, c’est uniquement en téléchargeant le dmg depuis le site le 4⁄5 mars.
" />
#14
Mise à part ça, les logiciels malicieux sur mac osx ça n’existe pas.
#15
Prochaine étapes pour ces hackers, violer les depots debian ? avec les signatures de build , ça devrait être plus difficile ?
#16
En effet, le logiciel mis à jour via son updater n’est pas infecté. C’était seulement l’installeur depuis le site.
#17
Donc finalement le principe de l’Apple Store est le bon.
Toutes les installations doivent être payantes et doivent passer par l’Apple Store.
On voit clairement ici les conséquences d’une installation gratuite qui se fait sournoisement à partir du site insécurisé du développeur.
La grande majorité des infections se font via des logiciels tipiakés, des cracks, des logiciels open source, des freewares etc …
Si les utilisateurs ont pris la peine d’acheter un mac (qui est plus cher à hardware égal) c’est bien pour être à l’abri de ces petits soucis. Il suffit que payer quelques dizaines d’euros à Apple à chaque installation ou mise à jour pour être tranquille.
La sérénité n’a pas de prix.
#18
@picatrix
Bof, je ne suis pas d’accord avec ce raisonnement.
Rien ne t’empêche d’installer que des logiciels venant de l’Apple Store. Il faut laisser la liberté à ceux qui la veule.
Sinon, ce type d’attaque, son premier vecteur est la pièce jointe vérolée… Donc attention !
#19
C’est un troll hein
" />
AppStore ne veut pas dire payant donc…
#20
#21
#22
Tu t’améliores mais là tu es monté trop haut trop vite dans le troll…
" />
#23
Oui mais je pense à tous ceux qui liraient son message et qui ne distingue pas la notion de troll ;)
Nous en sommes à notre 3 ème crypto sur des postes users. Je préfère encore et encore répéter d’être vigilant :)
#24
#25
troll ou pas, quand les installeurs d’OSX fournis par le store ont des certificats périmés, c’est le bazar aussi
" />
#26
Apparemment les fichiers .kernel_pid, .kernel_time, .kernel_complete et .kernel_service sont dans ~/Library, pas dans /Library.
#27
#28
#29
#30
Oui, c’est pour ça que je mettais en avant l’aspect “fonctionnel” dans l’actu, c’était pas la première fois dans l’absolu, mais c’était quand même la première qu’une bestiole de ce genre fonctionnait
#31
Sans même parler du fait qu’il faut tout désactiver sur OS X, sans quoi X11 ne fonctionne pas, Wineskin non plus, bref faut se balader à poil pour avoir un ordi fonctionnel. leur secure je sais plus quoi, c’est la première chose que j’ai du vireré depuis la dernière mise à jour. En tout cas, merci de l’article, j’allais justement installer Transmission.
Aussi, Malwarebyte existe sur OS X en gratuit, leur liste est à jour en principe.
#32
370 € pour des Mac users c’est rien du tout, autant payer 
" />
#33
tout à fait. Cet article relève de la calomnie
" />
#34
Euhhh…
Je ne sais pas comment procède Transmission pour se mettre à jour.
En tout cas il est toujours bon de vérifier ;)
#35
Moi je vous dis, gaf à ceux qui installerons le package Transmission sur les NAS Synology 
" />
#36
#37
Il est installé de base non ? normalement les MAJ ne sont pas auto sur un Syno.
Normalement l’admin du syno n’est pas un end-user lambda, je ne suis pas trop inquiet.
#38
Il y a belles lurettes que j’utilise plus Transmission mais plutôt uTorrent.
Après ça troll quand même sévère par ici lol
Après si le bouzin arrive pas à crypter la TM suffit d’en réinstaller une antérieur à la date de téléchargement de transmission pour récupérer sa machine non? Galère de perdre 1h à la restauration mais toujours mieux que racker 370€ à des baltringues.
#39
A l’inverse … Dans mes connaissance pro + particulier mac “ c’est joli et facile a utiliser” et ce sont très loin d’être des gens averti de l’informatique..
#40
Non c’est un package à installer depuis le dépôt ;)
Mais même un chevronné peut se faire avoir par cette usurpation d’identité :(
#41
#42
nano vaincra!
#43
Le Download Station de Synology utilise le daemon transmission pour télécharger les torrents.
Mais effectivement, on peut aussi installer un Transmission “pur” via les dépôts. Initialement je crois que c’était uniquement dans les dépôts Community, mais c’est peut-être passé dans les officiels ?
#44
#45
#46
#47
Je comprends pas qu’on puisse utiliser uTorrent, farci de spyware sur mac comme PC (browserbar et cie)
Transmission malgré cet incident indépendant de leur volonté est libre, fonctionne en remote, a une interface native sur chaque plate-forme etc (et pas du java tout pété).
PS : signé un utilisateur mac qui ne se reconnait pas, et ne reconnais pas ses amis utilisateurs de macs dans la plupart des commentaires stéréotypés qu’on peut lire ici ^^ Un utilisateur mac est souvent un véritable amateur d’informatique au contraire de la plupart des utilisateurs windows qui sont “obligés”. (boulot toussah)
#48
Gatekeeper bloque le virus depuis deux jours. Les chances d’être infecté sont donc très très limités … https://twitter.com/DidierFranc/status/706583073295626240
#49
#50
C’est à deux vitesses ça aussi.
#51
Souvent c’est vite dit, quand je viens retirer des logiciels/extensions publicitaires, c’est souvent les utilisateurs mac qui sont les plus perdus, je pense que ça dépends surtout des gens qui t’entourent, indépendamment de leurs système favoris.
#52
Ceux qui ont le temps, la patience, peuvent faire depuis les sources … (et esquivent ce genre de problèmes… jusqu’à que quelqu’un mette la main sur un compte qui a les accès en écriture sur le git)
#53
Visiblement ce n’est pas l’année Apple.
ça commence à faire beaucoup, non ?
#54
Et donc ? Des gens impactés finalement ?