Со 2 по 6 мая официальный клиент HandBrake для Mac распространялся с «крысой»

a674328cf593f8e9ff389fae6c2f84f2.jpg

Если вы скачали популярную программу-транскодер HandBrake для OS X с официального сайта в период со 2 по 6 мая 2017 года, то с вероятностью 50% вместе с ней была Proton RAT — программа для удалённого управления компьютером. После взлома сервера HandBrake неизвестные лица подменили официальный дистрибутив, подсадив туда «крысу», как иногда называют программы RAT на жаргоне.

Файл HandBrake-1.0.7.dmg на зеркале download.handbrake.fr подменили другим файлом, хеш которого не совпадает с контрольными суммами, перечисленными на странице https://github.com/HandBrake/HandBrake/wiki/Checksums.
HandBrake — свободное и бесплатное программное обеспечение для транскодирования цифровых видеофайлов, изначально разработанное в 2003 году, чтобы облегчить рипы DVD, то есть копирование фильмов с DVD-диска на HDD. С тех пор программа претерпела множество измений и сейчас используется преимущественно для транскодирования уже готовых файлов. Например, после скачивания с торрентов версии в максимальном качестве требуется сделать копию для iPhone или Android-устройства с приемлемым разрешением и размером. Во время транскодирования HandBrake позволяет установить нужный битрейт, максимальный размер файла или изменять битрейт при «постоянном качестве». Программа поддерживает множество специфических функций, в том числе деинтерлейсинг, масштабирование изображения, кадрирование, удаление артефактов «расчёски» (decombing) и другие эффекты постпроизводства. Есть возможность обрабатывать файлы в пакетном режиме, составляя списки работы через GUI или текстовый интерфейс в консоли. HandBrake поддерживает множество входных и выходных форматов как для видео, так и для аудио.

Существуют версии HandBrake для Linux, macOS и Windows, но в данном случае хакеры подменили только версию под macOS.

Сообщение о взломе зеркала офсервера загрузки опубликовано на форуме HandBrake утром 6 мая 2017 года. Оно гласит, что все скачавшие официальный клиент HandBrake для Mac в период со 2 мая 14:30 UTC по 6 мая 11:00 UTC, должны проверить хеши SHA1 или SHA256, прежде чем запускать файл.

Если вы не успели проверить файл и уже запустили программу, то нужно исследовать компьютер на предмет наличия трояна. Он присутствует в системе с вероятностью 50/50, если вы скачали программу в указанный период. Разработчики подчёркивают, что встроенная программа обновлений 1.0 или более высокой версии не могла установить трояна. С версии 1.0 она проверяет цифровую подпись и не устанавливает обновление, если подпись не совпадает. А вот более ранние версии программы обновления не проверяют подпись, так что они могли установить файл со встроенным RAT.

Определить троян на компьютере можно по наличию процесса Activity_agent в приложении OSX Activity Monitor.

Если у вас сохранился скачанный файл HandBrake.dmg, то можете проверить хеши заражённых файлов:

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Если у вас такой хеш, то файл инфицирован.

Как сообщается, вместе с транскодером поставлялась новая версия RAT под названием OSX.PROTON. Эту программу впервые заметили в продаже на российских подпольных форумах в феврале 2017 года.

54075fcddd52f122391624cb802ac111.png

Для удаления программы следует открыть терминал и выполнить следующие команды:

  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app
  • Если директория ~/Library/VideoFrameworks/ содержит proton.zip, то удалить папку


Затем удалить все установки HandBrake.app, какие имеются.

Дальнейшие действия
Поскольку данный RAT (вероятно, российской разработки) полностью контролирует компьютер жертвы, то следует считать компьютер и всю информацию на нём скомпрометированным. Следовательно, нужно заменить все пароли, которые хранились в операционной системе и браузере, а также те, которые вы набирали вручную в последнее время.

Сейчас в открытом доступе есть удобные инструменты, с помощью которых можно проверить любой файл сразу во всех антивирусах (типа VirusTotal). Злоумышленники обычно проверяют файлы зловредов после обфускации — насколько удачно обфусцированы файлы. Если антивирусы не определяют программу — то её можно распространять. Именно поэтому встроенный антивирус macOS XProtect не определил трояна. Сейчас Apple обновляет базу сигнатур. Возможно, вчера или сегодня обновление уже должно дойти до пользователей.

Имейте в виду, что с сервисами вроде VirusTotal обновление сигнатур всегда будет происходить после распространения нового зловреда и его установки на компьютеры пользователей. Никто не будет распространять зловред, если он детектируется антивирусами. Следовательно, во многом теряется смысл работы антивируса на компьютере, тем более что и сами антивирусы — это дополнительная брешь в безопасности системы.

В данный момент зеркало download.handbrake.fr временно закрыто для проведения расследования. В то же время основное официальное зеркало продолжает работать, так что вы можете скачать официальную версию программу транскодера. Правда, скорость скачивания снизилась из-за повышенной нагрузки на сервер. Зато программа HandBrake теперь, скорее всего, без трояна.

Дежа вю
Интересно, что основной разработчик программы HandBrake является также автором торрент-клиента Transmission. Не поверите, но в марте 2016 года неизвестные хакеры взломали официальный сервер Transmission и подменили оригинальный файл версией со зловредом KeRanger. А ещё через пару месяцев то же самое зеркало опять взломали, на этот раз внедрив в официальный клиент зловред OSX/Keydnap.

© Geektimes