Durant un court laps de temps, le client BitTorrent Transmission pour OS X a été contaminé par un ransomware. Celui-ci, KeRanger, est le premier à être réellement diffusé et fonctionnel sur cette plateforme. Il est recommandé de mettre à jour le logiciel aussi vite que possible.

La semaine dernière, nous indiquions que le client Transmission revenait en version 2.90 après près de deux ans sans aucun signe de vie. Les modifications et corrections sous le capot étaient particulièrement nombreuses, les utilisateurs étant sans doute satisfaits de voir revenir un logiciel connu pour sa légèreté, mais qui avait tendance à se bloquer sous El Capitan, notamment lors de l’arrêt d’un téléchargement.

Un site officiel piraté, un installeur contaminé

Cette version 2.90 a été publiée précisément le 28 février. Mais pendant plus d’une journée, du 4 mars à 11h00 au 5 mars à 19h00, l’installeur du logiciel a été contaminé par un ransomware, KeRanger. Le site web a été piraté, à la manière de celui de Linux Mint, aboutissant à la création d’un nouvel installeur, signé numériquement par un certificat authentique, et donc reconnu par la protection GateKeeper.

Une fois en place, KeRanger laisse un délai de trois jours à l’utilisateur avant de se manifester. Comme tout malware de ce type, il va chiffrer le contenu du disque dur et demander à la victime une rançon d’un bitcoin (environ 370 euros) pour lui rendre ses données. Premier ransomware vraiment fonctionnel, KeRanger n’est pour autant pas complètement opérationnel. La société Palo Alto Networks révèle ainsi qu’il tente de chiffrer les sauvegardes Time Machine, sans succès pour l’instant.

Transmission mis à jour et certificat révoqué

Le signal a été donné pendant le week-end. Dès samedi, des utilisateurs ont commencé à se poser la question, relevant des signes étranges dans leur logiciel. La récupération depuis le site officiel rendait l’ensemble particulièrement louche : les auteurs de Transmission avaient-ils tenté de contaminer les utilisateurs de leur client BitTorrent. Il s’est rapidement avéré que tel n’était pas le cas, et Apple a rapidement réagi par la suite en bloquant la reconnaissance du certificat utilisé.

Les développeurs de Transmission ont également supprimé l’installeur contaminé samedi soir. Dans la foulée, une version 2.91 a été proposée, puis une 2.92 hier, les deux étant bien entendu nettoyées de tout malware. Normalement, mettre à jour Transmission devrait ôter l’infection déjà en place en exécutant automatiquement les étapes décrites plus bas. D’autant qu’avec un délai de trois jours laissé à l’utilisateur, c’est bien aujourd’hui en fin de matinée que devraient se manifester les premiers cas de blocage.

On peut supprimer le ransomware

Palo Alto Research donne de son côté la marche à suivre pour se débarrasser du malware étape par étape. Même si vous avez installé Transmission 2.92, une vérification supplémentaire reste recommandée.

Il faut commencer par chercher le fichier « General.rtf » dans deux dossiers :

/Applications/Transmission.app/Contents/Resources/

/Volumes/Transmission/Transmission.app/Contents/Resources/

S’il est bien présent, il doit être supprimé. Il faut ensuite ouvrir le Moniteur d’activité et repérer un processus nommé « kernel_service ». S’il s’agit d’une version vérolée, vous trouverez dans ses propriétés, dans l’onglet « Fichiers et ports ouverts », la mention « /Users//Library/kernel_service ». Si tel est le cas, forcez le processus à quitter. Enfin, si les fichiers .kernel_pid, .kernel_time, .kernel_complete et .kernel_service se trouvent dans /Bibliothèque, ils doivent être supprimés également.

Crédits : Palo Alto Networks

Les premiers cas dans les prochaines heures

Bien que la société de sécurité indique que ces mesures sont suffisantes, l’épreuve du feu commencera dans la journée. Il faut espérer que le message aura été suffisamment relayé et que les utilisateurs de Transmission seront donc avertis. La notification de mise à jour de Transmission devrait en ce sens particulièrement aider.

On notera dans tous les cas que KeRanger est le premier ransomware fonctionnel diffusé avec cette ampleur sur OS X. L’ère de tranquillité est donc terminée pour la plateforme d’Apple, ce qui n’a rien d’étonnant : l’installation de ces malwares particuliers fait souvent appel à l’ingénierie sociale pour s’insinuer dans les machines, même si le piratage d’un site officiel est une méthode très efficace.