Si vous avez téléchargé le populaire programme de transcodeur HandBrake pour OS X sur le site officiel du 2 au 6 mai 2017, alors avec une probabilité de 50%, il y avait Proton RAT avec lui - un programme pour le contrôle à distance de l'ordinateur. Après avoir piraté le serveur HandBrake, des inconnus ont remplacé le kit de distribution officiel en y plantant un «rat», car les programmes RAT sont parfois appelés en jargon.
Le fichier HandBrake-1.0.7.dmg sur le miroir
download.handbrake.fr a été remplacé par un autre fichier dont le hachage ne correspond pas aux sommes de contrôle répertoriées sur
https://github.com/HandBrake/HandBrake/wiki/Checksums .
HandBrake est un logiciel gratuit et gratuit de transcodage de fichiers vidéo numériques, développé à l'origine en 2003 pour faciliter l'extraction de DVD, c'est-à-dire la copie de films d'un DVD vers un disque dur. Depuis lors, le programme a subi de nombreuses modifications et est maintenant utilisé principalement pour le transcodage de fichiers prêts à l'emploi. Par exemple, après avoir téléchargé la version de qualité maximale à partir de torrents, vous devez faire une copie pour l'iPhone ou l'appareil Android avec une résolution et une taille acceptables. Pendant le transcodage, HandBrake vous permet de définir le débit souhaité, la taille maximale du fichier ou de modifier le débit avec une "qualité constante". Le programme prend en charge de nombreuses fonctions spécifiques, notamment le désentrelacement, la mise à l'échelle de l'image, le recadrage, la suppression d'artefacts "peigne" (décombillage) et d'autres effets de la post-production. Il est possible de traiter des fichiers en mode batch en compilant des listes de travail via l'interface graphique ou l'interface texte de la console. HandBrake prend en charge de nombreux formats d'entrée et de sortie pour la vidéo et l'audio.
Il existe des versions de HandBrake pour Linux, macOS et Windows, mais dans ce cas, les pirates n'ont remplacé que la version pour macOS.
Un message sur la rupture du miroir de démarrage hors serveur a été
publié sur le forum HandBrake le matin du 6 mai 2017. Il indique que tous ceux qui téléchargent le client officiel HandBrake pour Mac entre le 2 mai, 14h30 UTC et le 6 mai, 11h00 UTC, doivent vérifier les hachages SHA1 ou SHA256 avant de démarrer le fichier.
Si vous n'avez pas le temps de vérifier le fichier et que vous avez déjà lancé le programme, vous devez examiner l'ordinateur pour la présence d'un cheval de Troie. Il est présent dans le système avec une probabilité de 50/50 si vous avez téléchargé le programme dans la période spécifiée. Les développeurs soulignent que la mise à jour du micrologiciel 1.0 ou une version supérieure n'a pas pu installer le cheval de Troie. Depuis la version 1.0, il vérifie la signature numérique et n'installe pas la mise à jour si la signature ne correspond pas. Mais les versions antérieures du programme de mise à jour ne vérifient pas la signature, afin qu'elles puissent installer un fichier avec un RAT intégré.
Vous pouvez identifier un cheval de Troie sur un ordinateur par la présence du processus
Activity_agent dans l'application OSX Activity Monitor.
Si vous avez toujours le fichier HandBrake.dmg téléchargé, vous pouvez vérifier les hachages des fichiers infectés:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Si vous disposez d'un tel hachage, le fichier est infecté.
Apparemment, une nouvelle version de RAT appelée OSX.PROTON a été livrée avec le transcodeur. Ce programme a été
vu pour la première
fois sur les forums souterrains russes en février 2017 .
Pour supprimer le programme, ouvrez le terminal et exécutez les commandes suivantes:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plistrm -rf ~/Library/RenderFiles/activity_agent.app- Si le répertoire
~/Library/VideoFrameworks/ contient proton.zip, supprimez le dossier
Désinstallez ensuite toutes les installations HandBrake.app disponibles.
Actions supplémentairesÉtant donné que ce RAT (probablement de conception russe) contrôle entièrement l'ordinateur de la victime, l'ordinateur et toutes les informations qu'il contient doivent être considérés comme compromis. Par conséquent, vous devez remplacer tous les mots de passe stockés dans le système d'exploitation et le navigateur, ainsi que ceux que vous avez tapés manuellement récemment.
Maintenant, dans le domaine public, il existe des outils pratiques avec lesquels vous pouvez analyser n'importe quel fichier à la fois dans tous les antivirus (tels que VirusTotal). Les attaquants analysent généralement les fichiers malveillants après l'obfuscation - avec quel succès les fichiers sont-ils obscurcis. Si les antivirus ne détectent pas le programme, il peut être distribué. C'est pourquoi l'antivirus intégré macOS XProtect n'a pas détecté le cheval de Troie. Apple met à jour la base de données des signatures. Peut-être hier ou aujourd'hui, la mise à jour devrait déjà atteindre les utilisateurs.
Gardez à l'esprit qu'avec des services comme VirusTotal, les mises à jour de signature se produiront toujours après la distribution et l'installation du nouveau malware sur les ordinateurs des utilisateurs. Personne ne propagera le logiciel malveillant s'il est détecté par un logiciel antivirus. Par conséquent, à bien des égards, la signification de l'antivirus sur l'ordinateur est perdue, d'autant plus que l'antivirus lui-même est une
faille de sécurité supplémentaire dans le système .
Le miroir
download.handbrake.fr est actuellement fermé pour enquête. Dans le même temps, le miroir officiel principal continue de fonctionner, vous pouvez donc télécharger la version officielle du programme de transcodeur. Certes, la vitesse de téléchargement a diminué en raison de l'augmentation de la charge sur le serveur. Mais le programme HandBrake maintenant, très probablement, sans cheval de Troie.
Déjà vuFait intéressant, le développeur principal du programme HandBrake est également l'auteur du client Transmission torrent. Je ne le crois pas, mais en mars 2016, des pirates inconnus ont piraté le serveur de transmission officiel et ont
remplacé le fichier d'origine par la version avec le logiciel malveillant KeRanger . Et après quelques mois, le même miroir a de nouveau été piraté,
introduisant cette fois
le malware OSX / Keydnap dans le client officiel .