Versão infectada do Transmission espalhou malware para usuários de Mac

Transmission é um dos clientes de torrent mais utilizados na plataforma da Apple.
Ransomware criptografava silenciosamente os arquivos dos usuários e pedia "resgate" de 1 bitcoin.

Por Paulo Higa

8 anos atrás • Atualizado há 1 semana

O Transmission, um dos clientes de torrent mais utilizados no OS X, disseminou um ransomware para Mac que criptografava os arquivos do sistema e impedia o acesso a eles até que a vítima pagasse um “resgate”. O malware, batizado de KeRanger, estava escondido na versão 2.90 do Transmission, que foi distribuída na página oficial do aplicativo durante algumas horas da última sexta-feira (4).

Este é, provavelmente, o primeiro ransomware totalmente funcional para Mac. A Palo Alto Networks, que descobriu a praga, nota que o FileCoder era o malware mais recente da espécie que se tinha notícia no OS X — ele havia sido descoberto em 2014 pela Kaspersky. No entanto, na época em que foi divulgado, o FileCoder ainda não estava totalmente desenvolvido.

O KeRanger funciona assim: depois que o usuário instala o aplicativo infectado no Mac, o ransomware aguarda três dias e passa a receber comandos remotos pela rede Tor. Então, ele começa a criptografar documentos e alguns tipos de arquivos do sistema. Após os dados serem “protegidos”, o usuário é obrigado a pagar 1 bitcoin (algo em torno de R$ 1,7 mil) para que as informações sejam recuperadas.

Os desenvolvedores do ransomware foram bem espertos. Como é assinado com um certificado válido, o KeRanger era capaz de furar o Gatekeeper, recurso do Mac que protege os usuários de aplicativos maliciosos. Além disso, é claro que os usuários precavidos do Mac fazem backup de seus arquivos no Time Machine, e poderiam recuperar os arquivos — mas o KeRanger também afeta o backup do OS X.

O "resgate" para ter os arquivos de volta era de 1 bitcoin (R$ 1,7 mil) — O “resgate” para ter os arquivos de volta era de 1 bitcoin (R$ 1,7 mil)

Quem baixou o Transmission na página oficial entre sexta-feira (4) e sábado (5) pode ter sido infectado. Para descobrir se você foi afetado, verifique se existe um documento chamado “General.rtf” na pasta /Applications/Transmission.app/Contents/Resources/, ou se algum processo identificado como “kernel_service” está sendo executado no Monitor de Atividade.

A Apple já revogou o certificado do KeRanger e atualizou as assinaturas do XProtect para bloquear o malware, portanto, os usuários de Mac não devem mais conseguir instalar a versão infectada do Transmission. É recomendável que os usuários do cliente de torrent baixem a versão 2.92 do cliente, diretamente do site do aplicativo — que não está mais infectado, garantem os desenvolvedores.

Relacionados