Si descargó el popular programa transcodificador HandBrake para OS X del sitio web oficial del 2 al 6 de mayo de 2017, entonces con una probabilidad del 50% había Proton RAT con él, un programa para el control remoto de la computadora. Después de hackear el servidor HandBrake, personas desconocidas reemplazaron el kit de distribución oficial plantando una "rata" allí, ya que los programas RAT a veces se llaman jerga.
El archivo HandBrake-1.0.7.dmg en el espejo
download.handbrake.fr fue reemplazado por otro archivo cuyo hash no coincide con las sumas de verificación enumeradas en
https://github.com/HandBrake/HandBrake/wiki/Checksums .
HandBrake es un software gratuito para transcodificar archivos de video digital, desarrollado originalmente en 2003 para facilitar la extracción de DVD, es decir, copiar películas de un DVD a un HDD. Desde entonces, el programa ha sufrido muchos cambios y ahora se usa principalmente para transcodificar archivos ya hechos. Por ejemplo, después de descargar la versión de máxima calidad de torrents, debe hacer una copia para el dispositivo iPhone o Android con una resolución y tamaño aceptables. Durante la transcodificación, HandBrake le permite establecer la velocidad de bits deseada, el tamaño máximo de archivo o cambiar la velocidad de bits con "calidad constante". El programa admite muchas funciones específicas, como el desentrelazado, el escalado de imágenes, el recorte, la eliminación de artefactos "peine" (descomposición) y otros efectos de la postproducción. Es posible procesar archivos en modo por lotes compilando listas de trabajo a través de la GUI o la interfaz de texto en la consola. HandBrake admite muchos formatos de entrada y salida para video y audio.
Existen versiones de HandBrake para Linux, macOS y Windows, pero en este caso, los hackers solo han reemplazado la versión para macOS.
En la mañana del 6 de mayo de 2017, se
publicó un mensaje sobre cómo romper el espejo del servidor de arranque
en el foro HandBrake . Establece que todos los que descarguen el cliente oficial de HandBrake para Mac entre el 2 de mayo a las 14:30 UTC y el 6 de mayo a las 11:00 UTC deben verificar los hash SHA1 o SHA256 antes de iniciar el archivo.
Si no tiene tiempo para verificar el archivo y ya ha iniciado el programa, entonces debe examinar la computadora para detectar la presencia de un troyano. Está presente en el sistema con una probabilidad de 50/50 si descargó el programa en el período especificado. Los desarrolladores enfatizan que la actualización de firmware 1.0 o una versión superior no pudo instalar el troyano. Desde la versión 1.0, comprueba la firma digital y no instala la actualización si la firma no coincide. Pero las versiones anteriores del actualizador no verifican la firma, por lo que podrían instalar un archivo con una RAT incorporada.
Puede identificar un troyano en una computadora por la presencia del proceso
Activity_agent en la aplicación OSX Activity Monitor.
Si todavía tiene el archivo descargado HandBrake.dmg, puede verificar los hash de los archivos infectados:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Si tiene ese hash, el archivo está infectado.
Según se informa, se envió una nueva versión de RAT llamada OSX.PROTON con el transcodificador. Este programa se
vio por primera
vez a la venta en foros subterráneos rusos en febrero de 2017 .
Para eliminar el programa, abra la terminal y ejecute los siguientes comandos:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plistrm -rf ~/Library/RenderFiles/activity_agent.app- Si el directorio
~/Library/VideoFrameworks/ contiene proton.zip, elimine la carpeta
Luego, desinstale todas las instalaciones de HandBrake.app que estén disponibles.
Otras accionesDado que esta RAT (probablemente de diseño ruso) controla completamente la computadora de la víctima, la computadora y toda la información que contiene debe considerarse comprometida. Por lo tanto, debe reemplazar todas las contraseñas que se almacenaron en el sistema operativo y el navegador, así como las que escribió manualmente recientemente.
Ahora, en el dominio público, existen herramientas convenientes con las que puede escanear cualquier archivo a la vez en todos los antivirus (como VirusTotal). Los atacantes generalmente escanean los archivos de malware después de la ofuscación: cuán exitosamente se ofuscan los archivos. Si los antivirus no detectan el programa, entonces se puede distribuir. Es por eso que el antivirus incorporado macOS XProtect no detectó el troyano. Apple ahora está actualizando la base de datos de firmas. Quizás ayer o hoy, la actualización ya debería llegar a los usuarios.
Tenga en cuenta que con servicios como VirusTotal, las actualizaciones de firmas siempre ocurrirán después de que el nuevo malware se haya distribuido e instalado en las computadoras de los usuarios. Nadie propagará el malware si es detectado por un software antivirus. Por lo tanto, en muchos sentidos se pierde el significado del antivirus en la computadora, especialmente porque el antivirus en sí es un
agujero de seguridad adicional en el sistema .
El espejo
download.handbrake.fr está actualmente cerrado para investigación. Al mismo tiempo, el espejo oficial principal continúa funcionando, por lo que puede descargar la versión oficial del programa transcodificador. Es cierto que la velocidad de descarga ha disminuido debido a una mayor carga en el servidor. Pero el programa HandBrake ahora, muy probablemente, sin un troyano.
Deja vuCuriosamente, el desarrollador principal del programa HandBrake también es el autor del cliente de transmisión torrent. No lo crea, pero en marzo de 2016, piratas informáticos desconocidos piratearon el servidor de transmisión oficial y
reemplazaron el archivo original con la versión con el malware KeRanger . Y después de un par de meses, el mismo espejo fue nuevamente pirateado, esta vez
introduciendo el malware OSX / Keydnap en el cliente oficial .