вНовости программирования

Сайт Mac-приложения HandBrake был взломан для распространения малвари Proton RAT

Веб-сайт приложения HandBrake был взломан, а одно из его загрузочных зеркал — изменено для размещения малвари Proton RAT, встроенной в клиент Mac-приложения. HandBrake — это мультиплатформенный транскодер, т.е. приложение, которое позволяет конвертировать мультимедийные файлы из одного формата в другой.

Proton RAT

Интерфейс HandBrake

Согласно сообщению, опубликованному вчера на форуме приложения, неизвестный злоумышленник скомпрометировал загрузочные зеркала сайта, расположенные по адресу download.handbrake.fr. Он заменил версию HandBrake своей, которая содержала Proton, троянскую программу удалённого доступа для macOS.

Proton RAT впервые была обнаружена в марте, когда мошенник выставил её на продажу на форуме хакеров. Такие программы могут использоваться для кражи данных с зараженных устройств, а также для того, чтобы подключаться к зараженным хостам через VNC или SSH.

Скачать вирус можно было на протяжении четырёх дней

По данным команды HandBrake, их серверы оставались скомпрометированными между 2 мая 2017 года, 14:30 UTC и 6 мая 2017 года, 1:00 UTC. Устройства пользователей, загрузивших в этот промежуток времени HandBrake 1.0.7 для Mac, скорее всего заражены.

Разработчики HandBrake прокомментировали ситуацию:

Если вы видите процесс Activity_agent в приложении OSX Activity Monitor, то вы заражены.

SHA256 зараженного файла HandBrake — 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793. Сканирование этого файла на вирусы не содержит никаких сведений о заражении. Это является одной из главных фич малвари.

Пользователи, которые обновили HandBrake до 1.0.7, могут не беспокоиться о безопасности своего Mac, поскольку программа обновления использует подписи DSA для проверки загруженных файлов. Проверка подписи DSA была введена в версии 0.10.6, поэтому пользователи, обновившиеся с более ранней версии, должны проверить свою систему на наличие угроз.

Инструкция по удалению Proton RAT

Команда HandBrake предоставила следующие инструкции по удалению:

  1. Откройте приложение «Терминал» и выполните команду:
    launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  2. Выполните следующую команду:
    rm -rf ~/Library/RenderFiles/activity_agent.app
  3. Если в ~/Library/VideoFrameworks/ есть файл proton.zip, удалите папку.
  4. Удалите все установленные файлы HandBrake.app.

Разработчики приложения добавили:

Исходя из имеющейся у нас информации, вы также должны изменить все пароли, которые могут находиться в OSX KeyChain или любом хранилище паролей браузера.

Команда HandBrake отключила зеркало для проведения расследования, поэтому HandBrake может скачиваться медленнее обычного.

Разработчики уже сталкивались с такой ситуацией

Основной автор приложения HandBrake также является создателем BitTorrent-клиента Transmission для Mac. В марте 2016 года неизвестный злоумышленник скомпрометировал загрузочное зеркало клиента и заменил оригинал версией, в которой хранился вымогатель KeRanger.

Несколько месяцев спустя то же самое зеркало было скомпрометировано ещё раз.

Типичный программист.

Источник: Типичный программист