Wenn Sie das beliebte HandBrake-Transcoder-Programm für OS X vom 2. bis 6. Mai 2017 von der offiziellen Website heruntergeladen haben, war mit einer Wahrscheinlichkeit von 50% Proton RAT dabei - ein Programm zur Fernsteuerung von Computern. Nach dem Hacken des HandBrake-Servers ersetzten unbekannte Personen das offizielle Verteilungskit, indem sie dort eine „Ratte“ pflanzten, wie RAT-Programme manchmal im Jargon genannt werden.
Die Datei HandBrake-1.0.7.dmg auf dem Spiegel
download.handbrake.fr wurde durch eine andere Datei ersetzt, deren Hash nicht mit den unter
https://github.com/HandBrake/HandBrake/wiki/Checksums aufgeführten Prüfsummen übereinstimmt.
HandBrake ist eine kostenlose Software zum Transcodieren digitaler Videodateien, die ursprünglich 2003 entwickelt wurde, um das Rippen von DVDs zu erleichtern, dh das Kopieren von Filmen von einer DVD auf eine Festplatte. Seitdem hat das Programm viele Änderungen erfahren und wird jetzt hauptsächlich zum Transcodieren von vorgefertigten Dateien verwendet. Nach dem Herunterladen der Version mit maximaler Qualität von Torrents müssen Sie beispielsweise eine Kopie für das iPhone oder Android-Gerät mit einer akzeptablen Auflösung und Größe erstellen. Während der Transcodierung können Sie mit HandBrake die gewünschte Bitrate und maximale Dateigröße einstellen oder die Bitrate mit "konstanter Qualität" ändern. Das Programm unterstützt viele spezifische Funktionen, einschließlich Deinterlacing, Bildskalierung, Zuschneiden, Entfernen von Artefakten "Kämmen" (Decombing) und andere Effekte der Postproduktion. Es ist möglich, Dateien im Batch-Modus zu verarbeiten, indem Arbeitslisten über die GUI oder die Textoberfläche in der Konsole erstellt werden. HandBrake unterstützt viele Eingabe- und Ausgabeformate für Video und Audio.
Es gibt Versionen von HandBrake für Linux, MacOS und Windows, aber in diesem Fall haben Hacker nur die Version für MacOS ersetzt.
Am Morgen des 6. Mai 2017 wurde
im HandBrake-Forum eine Nachricht zum Brechen des Boot-Offserver-Spiegels
veröffentlicht . Es heißt, dass jeder, der den offiziellen HandBrake-Client für Mac zwischen dem 2. Mai, 14:30 UTC und dem 6. Mai, 11:00 UTC herunterlädt, die SHA1- oder SHA256-Hashes überprüfen muss, bevor er die Datei startet.
Wenn Sie keine Zeit haben, die Datei zu überprüfen, und das Programm bereits gestartet haben, müssen Sie den Computer auf das Vorhandensein eines Trojaners untersuchen. Es ist mit einer Wahrscheinlichkeit von 50/50 im System vorhanden, wenn Sie das Programm im angegebenen Zeitraum heruntergeladen haben. Die Entwickler betonen, dass das Firmware-Update 1.0 oder eine höhere Version den Trojaner nicht installieren konnte. Seit Version 1.0 wird die digitale Signatur überprüft und das Update nicht installiert, wenn die Signatur nicht übereinstimmt. Frühere Versionen des Updaters überprüfen die Signatur jedoch nicht, sodass sie eine Datei mit einer integrierten RAT installieren können.
Sie können einen Trojaner auf einem Computer anhand des
Activity_agent Prozesses in der OSX Activity Monitor-Anwendung identifizieren.
Wenn Sie noch die heruntergeladene Datei HandBrake.dmg haben, können Sie die Hashes der infizierten Dateien überprüfen:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Wenn Sie einen solchen Hash haben, ist die Datei infiziert.
Berichten zufolge wurde eine neue Version von RAT namens OSX.PROTON mit dem Transcoder ausgeliefert. Dieses Programm wurde erstmals
im Februar 2017 in russischen Untergrundforen zum Verkauf angeboten .
Öffnen Sie zum Entfernen des Programms das Terminal und führen Sie die folgenden Befehle aus:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plistrm -rf ~/Library/RenderFiles/activity_agent.app- Wenn das Verzeichnis
~/Library/VideoFrameworks/ proton.zip enthält, löschen Sie den Ordner
Deinstallieren Sie anschließend alle verfügbaren HandBrake.app-Installationen.
Weitere AktionenDa diese RAT (wahrscheinlich russisches Design) den Computer des Opfers vollständig kontrolliert, sollten der Computer und alle Informationen darauf als kompromittiert betrachtet werden. Daher müssen Sie alle Kennwörter ersetzen, die im Betriebssystem und im Browser gespeichert waren, sowie alle Kennwörter, die Sie kürzlich manuell eingegeben haben.
Jetzt gibt es im öffentlichen Bereich praktische Tools, mit denen Sie jede Datei in allen Virenschutzprogrammen (z. B. VirusTotal) gleichzeitig scannen können. Angreifer scannen Malware-Dateien normalerweise nach der Verschleierung - wie erfolgreich die Dateien verschleiert sind. Wenn Virenschutzprogramme das Programm nicht erkennen, kann es verteilt werden. Aus diesem Grund hat das integrierte Antivirenprogramm macOS XProtect den Trojaner nicht erkannt. Apple aktualisiert jetzt die Signaturdatenbank. Vielleicht sollte das Update gestern oder heute bereits Benutzer erreichen.
Beachten Sie, dass bei Diensten wie VirusTotal Signaturaktualisierungen immer dann erfolgen, wenn die neue Malware verteilt und auf den Computern der Benutzer installiert wurde. Niemand wird die Malware verbreiten, wenn sie von Antivirensoftware erkannt wird. Daher geht in vielerlei Hinsicht die Bedeutung des Antivirenprogramms auf dem Computer verloren, insbesondere da das Antivirenprogramm selbst eine
zusätzliche Sicherheitslücke im System darstellt .
Der Spiegel
download.handbrake.fr ist derzeit zur Untersuchung geschlossen. Gleichzeitig funktioniert der offizielle Hauptspiegel weiterhin, sodass Sie die offizielle Version des Transcoder-Programms herunterladen können. Die Download-Geschwindigkeit hat sich aufgrund der erhöhten Auslastung des Servers verringert. Aber das Programm HandBrake jetzt höchstwahrscheinlich ohne Trojaner.
Deja vuInteressanterweise ist der Hauptentwickler des HandBrake-Programms auch der Autor des Transmission-Torrent-Clients. Glauben Sie es nicht, aber im März 2016 haben unbekannte Hacker den offiziellen Übertragungsserver gehackt und
die Originaldatei durch die Version mit der KeRanger-Malware ersetzt . Und nach ein paar Monaten wurde derselbe Spiegel erneut gehackt, und diesmal
wurde die OSX / Keydnap-Malware in den offiziellen Client eingeführt .