Злоумышленники ищут жертв через сайт торрент-клиента Transmission. Они переработали код Transmission и включили в его состав файл для запуска Keydnap.
 
Сайт Transmission уже использовался для распространения малвари для OS X. Весной 2016 года с площадки загружался вымогатель KeRanger под видом торрент-приложения. По оценкам экспертов ESET, схема заражения с того времени не изменилась.
 
Вредоносный фрагмент Keydnap или KeRanger работает параллельно главной функции Transmission. Зараженный дистрибутив подписан цифровым сертификатом, который отличается от оригинального, но, тем не менее, выдан Apple и поэтому может использоваться для обхода антивирусной защиты Gatekeeper. Кроме того, в Keydnap и KeRanger прописаны одинаковые шаблоны URL-адресов при работе с командным сервером.
 
Дистрибутив Transmission, зараженный  Keydnap, получил цифровую подпись 28 августа. Название вредоносного образа приложения – Transmission2.92.dmg, название безопасного файла выглядит иначе – Transmission-2.92.dmg.
 
Разработчики Transmission удалили вредоносный файл спустя минуту после того, как аналитики ESET сообщили им о распространении Keydnap.
 
ESET рекомендует всем пользователям, загружавшим Transmission 28 и 29 августа, проверить компьютер  на предмет заражения. На наличие вредоносного ПО указывают следующие файлы и директории в системе:
 
• /Applications/Transmission.app/Contents/Resources/License.rtf
• /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
• $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
• $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
• $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
• /Library/Application Support/com.apple.iCloud.sync.daemon/
• $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Антивирусный продукт ESET NOD32 Cyber Security Pro детектирует известные и новые вредоносные программы для Mac OS X.