Разработчики приложения для транскодирования видео с открытым исходным кодом Handbrake выпустили предупреждение о безопасности для пользователей Mac после взлома зеркального сервера загрузки, на котором размещалось программное обеспечение.
Оповещение было выпущено в субботу после обнаружения того, что исходный установочный файл HandBrake-1.0.7.dmg на зеркальном сервере download.handbrake.fr был заменен вредоносным файлом.
Затронутый сервер был отключен для расследования, но разработчики предупреждают, что у пользователей, загрузивших программное обеспечение с сервера в период с 14:30 UTC 2 мая по 11:00 UTC 6 мая, есть 50/50 шанс заражения системы трояном. «Если вы видите процесс с названием ‘Activity_agent’ в приложении OS X Activity Monitor, ваша система заражена», — говорится в предупреждении.
Чтобы удалить вредоносное ПО с зараженного компьютера, пользователям необходимо открыть приложение Terminal и выполнить следующие команды:
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
- if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
После этого пользователи должны удалить все установленные на их системе версии Handbrake.app. В качестве дополнительной меры безопасности пользователям также рекомендуется сменить все пароли, которые могут храниться в их OSX KeyChain или в браузерах.
Рассматриваемое вредоносное ПО является новым вариантом OSX.PROTON, трояна удаленного доступа для Mac, который предоставляет злоумышленнику привилегии доступа на уровне root. Apple обновила свое программное обеспечение безопасности macOS XProtect в феврале для защиты от оригинального вредоносного ПО Proton. Apple начала процесс обновления определений XProtect в субботу, и обновление должно уже распространяться на машины тихо и автоматически.
Пользователям Handbrake следует отметить, что основной зеркальный сервер загрузки и веб-сайт Handbrake не пострадали от взлома. Загрузки через встроенный в приложение обновлятор версий 1.0 и новее также не затронуты, поскольку они проверяются с помощью подписи DSA и не будут установлены, если проверка не пройдет. Однако пользователи Handbrake 0.10.5 и более ранних версий, которые использовали встроенный в приложение обновлятор, должны проверить свои системы, поскольку эти версии не имеют функции проверки.
Для справки, файлы HandBrake.dmg со следующими контрольными суммами заражены:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 / SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
(Спасибо, Альфонсо!)
