من 2 إلى 6 مايو ، تم توزيع عميل HandBrake الرسمي لنظام التشغيل Mac مع "الفئران"

إذا قمت بتنزيل برنامج HandBrake transcoder الشهير لنظام OS X من الموقع الرسمي من 2 مايو إلى 6 مايو 2017 ، فمن المحتمل أن يكون هناك بروتون RAT معه - وهو برنامج للتحكم عن بعد بالكمبيوتر 50٪. بعد اختراق خادم HandBrake ، قام أشخاص مجهولون باستبدال مجموعة التوزيع الرسمية عن طريق زرع "فأر" هناك ، حيث يتم استدعاء برامج RAT أحيانًا بلغة اصطلاحية.

تم استبدال ملف HandBrake-1.0.7.dmg على النسخة الاحتياطية من ملف download.handbrake.fr بملف آخر لا يتطابق تجزئةه مع الاختيارات المدرجة على https://github.com/HandBrake/HandBrake/wiki/Checksums .

HandBrake هو برنامج مجاني ومجاني لتحويل ترميز ملفات الفيديو الرقمية ، التي تم تطويرها في الأصل في عام 2003 لتسهيل نسخ أقراص DVD ، أي نسخ الأفلام من قرص DVD إلى قرص صلب. منذ ذلك الحين ، خضع البرنامج للعديد من التغييرات ويستخدم الآن بشكل أساسي لتحويل ترميز الملفات الجاهزة. على سبيل المثال ، بعد تنزيل الإصدار الأقصى من الجودة من السيول ، تحتاج إلى عمل نسخة لجهاز iPhone أو Android بدقة وحجم مقبول. أثناء التحويل ، يسمح لك HandBrake بتعيين معدل البت المطلوب ، أو الحد الأقصى لحجم الملف أو تغيير معدل البت باستخدام "جودة ثابتة". يدعم البرنامج العديد من الوظائف المحددة ، بما في ذلك إزالة التشابك ، وتغيير حجم الصورة ، والاقتصاص ، وإزالة "المشط" (التحف) والتأثيرات الأخرى لما بعد الإنتاج. من الممكن معالجة الملفات في وضع الدفعة من خلال تجميع قوائم العمل عبر واجهة المستخدم الرسومية أو واجهة النص في وحدة التحكم. يدعم HandBrake العديد من تنسيقات الإدخال والإخراج لكل من الفيديو والصوت.

هناك إصدارات من HandBrake لنظام التشغيل Linux و macOS و Windows ، ولكن في هذه الحالة ، استبدل المتسللون فقط الإصدار لنظام macOS.

تم نشر رسالة حول كسر مرآة التمهيد خارج الخادم في منتدى HandBrake صباح يوم 6 مايو 2017. ينص على أنه يجب على كل شخص يقوم بتنزيل عميل HandBrake الرسمي لنظام التشغيل Mac بين 2 مايو ، و 14: 30 UTC و 6 مايو ، 11:00 UTC ، التحقق من تجزئات SHA1 أو SHA256 قبل بدء الملف.

إذا لم يكن لديك الوقت لفحص الملف وقمت بتشغيل البرنامج بالفعل ، فأنت بحاجة إلى فحص الكمبيوتر بحثًا عن وجود حصان طروادة. إنه موجود في النظام مع احتمال 50/50 إذا قمت بتنزيل البرنامج في الفترة المحددة. يؤكد المطورون على أن تحديث البرنامج الثابت 1.0 أو إصدار أعلى لا يمكن تثبيت حصان طروادة. منذ الإصدار 1.0 ، يتحقق من التوقيع الرقمي ولا يقوم بتثبيت التحديث إذا لم يتطابق التوقيع. لكن الإصدارات السابقة من أداة التحديث لا تتحقق من التوقيع ، بحيث يمكنهم تثبيت ملف باستخدام RAT مدمج.

يمكنك تحديد حصان طروادة على جهاز كمبيوتر عن طريق وجود عملية Activity_agent في تطبيق OSX Activity Monitor.

إذا كان لا يزال لديك ملف HandBrake.dmg الذي تم تنزيله ، يمكنك التحقق من تجزئات الملفات المصابة:

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

إذا كان لديك مثل هذا التجزئة ، فإن الملف مصاب.

يقال ، تم شحن إصدار جديد من RAT يسمى OSX.PROTON مع محول. شوهد هذا البرنامج لأول مرة للبيع في منتديات تحت الأرض الروسية في فبراير 2017 .



لإزالة البرنامج ، افتح الطرفية وقم بتنفيذ الأوامر التالية:

• launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
• rm -rf ~/Library/RenderFiles/activity_agent.app
• إذا كان الدليل ~/Library/VideoFrameworks/ يحتوي على proton.zip ، فاحذف المجلد

ثم قم بإلغاء تثبيت جميع عمليات تثبيت HandBrake.app المتوفرة.

إجراءات أخرى
نظرًا لأن RAT (ربما من تصميم روسي) يتحكم بشكل كامل في كمبيوتر الضحية ، يجب اعتبار الكمبيوتر وجميع المعلومات الموجودة عليه ضعيفة. لذلك ، تحتاج إلى استبدال جميع كلمات المرور التي تم تخزينها في نظام التشغيل والمتصفح ، بالإضافة إلى تلك التي كتبتها يدويًا مؤخرًا.

الآن في المجال العام ، هناك أدوات مناسبة يمكنك من خلالها فحص أي ملف مرة واحدة في جميع برامج مكافحة الفيروسات (مثل VirusTotal). عادةً ما يقوم المهاجمون بفحص ملفات البرامج الضارة بعد التعتيم - مدى نجاح تشويش الملفات. إذا لم تكتشف مضادات الفيروسات البرنامج ، فيمكن توزيعه. هذا هو السبب في أن نظام macOS XProtect المدمج لمكافحة الفيروسات لم يكتشف حصان طروادة. تقوم Apple الآن بتحديث قاعدة بيانات التوقيع. ربما بالأمس أو اليوم ، يجب أن يصل التحديث بالفعل إلى المستخدمين.

ضع في اعتبارك أنه مع خدمات مثل VirusTotal ، ستحدث تحديثات التوقيع دائمًا بعد توزيع البرامج الضارة الجديدة وتثبيتها على أجهزة كمبيوتر المستخدمين. لن ينشر أحد البرامج الضارة إذا تم الكشف عنها بواسطة برنامج مكافحة الفيروسات. لذلك ، يُفقد معنى مضاد الفيروسات على الكمبيوتر من نواحٍ عديدة ، خاصة وأن مضاد الفيروسات نفسه هو ثغرة أمنية إضافية في النظام .

مرآة download.handbrake.fr مغلقة حاليًا للتحقيق فيها. في الوقت نفسه ، تستمر المرآة الرسمية الرئيسية في العمل ، حتى تتمكن من تنزيل النسخة الرسمية من برنامج transcoder. صحيح أن سرعة التنزيل قد انخفضت بسبب زيادة التحميل على الخادم. لكن برنامج HandBrake الآن ، على الأرجح ، بدون حصان طروادة.

ديجا فو
ومن المثير للاهتمام أن المطور الرئيسي لبرنامج HandBrake هو أيضًا مؤلف عميل برنامج Transmission torrent. لا تصدق ذلك ، ولكن في مارس 2016 ، اخترق قراصنة مجهولون خادم الإرسال الرسمي واستبدلوا الملف الأصلي بالإصدار ببرنامج KeRanger الضار . وبعد بضعة أشهر ، تم اختراق نفس المرآة مرة أخرى ، هذه المرة لتقديم البرامج الضارة OSX / Keydnap إلى العميل الرسمي .