Jika Anda mengunduh program transcoder HandBrake populer untuk OS X dari situs web resmi dari 2 Mei hingga 6 Mei 2017, maka dengan probabilitas 50% terdapat RAT Proton dengannya - sebuah program untuk kontrol komputer jarak jauh. Setelah meretas server HandBrake, orang tak dikenal mengganti kit distribusi resmi dengan menanam "tikus" di sana, karena program RAT kadang-kadang disebut dalam jargon.
File HandBrake-1.0.7.dmg pada mirror
download.handbrake.fr diganti dengan file lain yang hashnya tidak cocok dengan checksum yang tercantum di
https://github.com/HandBrake/HandBrake/wiki/Checksums .
HandBrake adalah perangkat lunak gratis dan gratis untuk mentranskode file video digital, yang awalnya dikembangkan pada tahun 2003 untuk memfasilitasi ripping DVD, yaitu menyalin film dari DVD ke HDD. Sejak itu, program ini telah mengalami banyak perubahan dan sekarang digunakan terutama untuk transcoding file yang sudah jadi. Misalnya, setelah mengunduh versi kualitas maksimum dari torrent, Anda perlu membuat salinan untuk perangkat iPhone atau Android dengan resolusi dan ukuran yang dapat diterima. Selama transcoding, HandBrake memungkinkan Anda untuk mengatur bitrate yang diinginkan, ukuran file maksimum atau mengubah bitrate dengan "kualitas konstan". Program ini mendukung banyak fungsi spesifik, termasuk deinterlacing, penskalaan gambar, pemangkasan, penghapusan artefak "sisir" (decombing) dan efek lain pasca produksi. Dimungkinkan untuk memproses file dalam mode batch dengan menyusun daftar kerja melalui GUI atau antarmuka teks di konsol. HandBrake mendukung banyak format input dan output untuk video dan audio.
Ada versi HandBrake untuk Linux, macOS dan Windows, tetapi dalam kasus ini, peretas hanya mengganti versi untuk macOS.
Sebuah pesan tentang memecahkan mirror server boot
diterbitkan di forum HandBrake pada pagi hari 6 Mei 2017. Ini menyatakan bahwa setiap orang yang mengunduh klien HandBrake resmi untuk Mac antara 2 Mei, 14:30 UTC dan 6 Mei, 11:00 UTC, harus memeriksa hash SHA1 atau SHA256 sebelum memulai file.
Jika Anda tidak punya waktu untuk memeriksa file dan sudah meluncurkan program, maka Anda perlu memeriksa komputer untuk keberadaan trojan. Ia hadir dalam sistem dengan probabilitas 50/50 jika Anda mengunduh program dalam periode yang ditentukan. Pengembang menekankan bahwa pembaruan firmware 1.0 atau versi yang lebih tinggi tidak dapat menginstal trojan. Sejak versi 1.0, ia memeriksa tanda tangan digital dan tidak menginstal pembaruan jika tanda tangan tidak cocok. Tetapi versi sebelumnya dari pembaru tidak memverifikasi tanda tangan, sehingga mereka dapat menginstal file dengan RAT bawaan.
Anda dapat mengidentifikasi trojan di komputer dengan kehadiran proses
Activity_agent di aplikasi OSX Activity Monitor.
Jika Anda masih memiliki file HandBrake.dmg yang diunduh, Anda dapat memeriksa hash dari file yang terinfeksi:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Jika Anda memiliki hash seperti itu, maka file tersebut terinfeksi.
Dilaporkan, versi baru RAT bernama OSX.PROTON dikirimkan bersama transcoder. Program ini pertama kali
terlihat dijual di forum bawah tanah Rusia pada Februari 2017 .
Untuk menghapus program, buka terminal dan jalankan perintah berikut:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plistrm -rf ~/Library/RenderFiles/activity_agent.app- Jika direktori
~/Library/VideoFrameworks/ berisi proton.zip, maka hapus foldernya
Kemudian copot semua instalasi HandBrake.app yang tersedia.
Tindakan selanjutnyaKarena RAT ini (mungkin berdesain Rusia) sepenuhnya mengendalikan komputer korban, komputer dan semua informasi di dalamnya harus dianggap dikompromikan. Oleh karena itu, Anda perlu mengganti semua kata sandi yang disimpan di sistem operasi dan browser, serta yang Anda ketikkan secara manual baru-baru ini.
Sekarang di domain publik ada alat yang mudah digunakan untuk memindai file sekaligus di semua antivirus (seperti VirusTotal). Penyerang biasanya memindai file malware setelah kebingungan - seberapa berhasil file dikaburkan. Jika antivirus tidak mendeteksi program, maka itu dapat didistribusikan. Itu sebabnya antivirus macOS XProtect bawaan tidak mendeteksi trojan. Apple sekarang memperbarui basis data tanda tangan. Mungkin kemarin atau hari ini, pembaruan seharusnya sudah menjangkau pengguna.
Ingatlah bahwa dengan layanan seperti VirusTotal, pembaruan tanda tangan akan selalu terjadi setelah malware baru didistribusikan dan diinstal di komputer pengguna. Tidak ada yang akan menyebarkan malware jika terdeteksi oleh perangkat lunak antivirus. Oleh karena itu, dalam banyak hal makna antivirus di komputer hilang, terutama karena antivirus itu sendiri merupakan
lubang keamanan tambahan dalam sistem .
Cermin
download.handbrake.fr saat ini ditutup untuk penyelidikan. Pada saat yang sama, mirror resmi utama terus berfungsi, sehingga Anda dapat mengunduh versi resmi program transcoder. Benar, kecepatan unduhan menurun karena meningkatnya beban di server. Tetapi program HandBrake sekarang, kemungkinan besar, tanpa trojan.
Deja vuMenariknya, pengembang utama program HandBrake juga merupakan penulis klien torrent Transmisi. Jangan percaya, tetapi pada Maret 2016, peretas tak dikenal meretas server Transmisi resmi dan
mengganti file aslinya dengan versi dengan malware KeRanger . Dan setelah beberapa bulan, mirror yang sama kembali diretas, kali ini
memperkenalkan malware OSX / Keydnap ke klien resmi .