Se você baixou o popular programa transcodificador HandBrake para OS X no site oficial de 2 a 6 de maio de 2017, provavelmente 50% havia o Proton RAT com ele - um programa para controle remoto de computador. Depois de invadir o servidor HandBrake, pessoas desconhecidas substituíram o kit de distribuição oficial plantando um “rato” lá, pois os programas RAT às vezes são chamados de jargão.
O arquivo HandBrake-1.0.7.dmg no espelho
download.handbrake.fr foi substituído por outro arquivo cujo hash não corresponde às somas de verificação listadas em
https://github.com/HandBrake/HandBrake/wiki/Checksums .
O HandBrake é um software gratuito e gratuito para a transcodificação de arquivos de vídeo digital, originalmente desenvolvido em 2003 para facilitar a cópia de DVDs, ou seja, a cópia de filmes de um DVD para um HDD. Desde então, o programa passou por muitas alterações e agora é usado principalmente para transcodificar arquivos prontos. Por exemplo, depois de baixar a versão de qualidade máxima de torrents, é necessário fazer uma cópia para o dispositivo iPhone ou Android com uma resolução e tamanho aceitáveis. Durante a transcodificação, o HandBrake permite definir a taxa de bits desejada, o tamanho máximo do arquivo ou alterar a taxa de bits com "qualidade constante". O programa suporta muitas funções específicas, incluindo desentrelaçamento, redimensionamento de imagem, corte, remoção de artefatos de decomposição e outros efeitos de pós-produção. É possível processar arquivos no modo em lote, compilando listas de trabalho por meio da GUI ou da interface de texto no console. O HandBrake suporta muitos formatos de entrada e saída para vídeo e áudio.
Existem versões do HandBrake para Linux, macOS e Windows, mas, neste caso, os hackers substituíram apenas a versão do macOS.
Uma mensagem sobre como quebrar o espelho do servidor de inicialização foi
publicada no fórum do HandBrake na manhã de 6 de maio de 2017. Ele afirma que todo mundo que baixa o cliente HandBrake oficial para Mac entre 2 de maio, 14:30 UTC e 6 de maio, 11:00 UTC, deve verificar os hashes SHA1 ou SHA256 antes de iniciar o arquivo.
Se você não tiver tempo para verificar o arquivo e já tiver iniciado o programa, precisará examinar o computador quanto à presença de um Trojan. Está presente no sistema com uma probabilidade de 50/50 se você baixou o programa no período especificado. Os desenvolvedores enfatizam que a atualização de firmware 1.0 ou versão superior não pôde instalar o Trojan. Desde a versão 1.0, ele verifica a assinatura digital e não instala a atualização se a assinatura não corresponder. Porém, versões anteriores do atualizador não verificam a assinatura, para que pudessem instalar um arquivo com um RAT interno.
Você pode identificar um cavalo de Troia em um computador pela presença do processo
Activity_agent no aplicativo OSX Activity Monitor.
Se você ainda tiver o arquivo HandBrake.dmg baixado, poderá verificar os hashes dos arquivos infectados:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Se você tem esse hash, o arquivo está infectado.
Alegadamente, uma nova versão do RAT chamada OSX.PROTON foi enviada com o transcodificador. Este programa foi
visto pela primeira
vez à venda em fóruns subterrâneos russos em fevereiro de 2017 .
Para remover o programa, abra o terminal e execute os seguintes comandos:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plistrm -rf ~/Library/RenderFiles/activity_agent.app- Se o diretório
~/Library/VideoFrameworks/ contiver proton.zip, exclua a pasta
Em seguida, desinstale todas as instalações do HandBrake.app disponíveis.
Ações adicionaisComo esse RAT (provavelmente de design russo) controla totalmente o computador da vítima, o computador e todas as informações nele contidas devem ser consideradas comprometidas. Portanto, você precisa substituir todas as senhas que foram armazenadas no sistema operacional e no navegador, bem como aquelas que você digitou manualmente recentemente.
Agora, em domínio público, existem ferramentas convenientes com as quais você pode verificar qualquer arquivo de uma vez em todos os antivírus (como o VirusTotal). Os invasores geralmente examinam os arquivos de malware após a ofuscação - com que êxito os arquivos são ofuscados. Se os antivírus não detectarem o programa, ele poderá ser distribuído. É por isso que o antivírus incorporado macOS XProtect não detectou o Trojan. A Apple agora está atualizando o banco de dados de assinaturas. Talvez ontem ou hoje, a atualização já deva chegar aos usuários.
Lembre-se de que, com serviços como o VirusTotal, as atualizações de assinatura sempre ocorrerão após o novo malware ter sido distribuído e instalado nos computadores dos usuários. Ninguém espalhará o malware se for detectado por software antivírus. Portanto, de várias maneiras, o significado do antivírus no computador é perdido, principalmente porque o próprio antivírus é uma
brecha de segurança adicional no sistema .
O espelho
download.handbrake.fr está atualmente fechado para investigação. Ao mesmo tempo, o espelho principal oficial continua funcionando, para que você possa baixar a versão oficial do programa transcodificador. É verdade que a velocidade do download diminuiu devido ao aumento da carga no servidor. Mas o programa HandBrake agora, muito provavelmente, sem um trojan.
Deja vuCuriosamente, o principal desenvolvedor do programa HandBrake também é o autor do cliente de torrent Transmission. Não acredite, mas em março de 2016, hackers desconhecidos invadiram o servidor oficial da Transmission e
substituíram o arquivo original pela versão pelo malware KeRanger . Depois de alguns meses, o mesmo espelho foi novamente hackeado, desta vez
introduzindo o malware OSX / Keydnap no cliente oficial .