Mirko Zago

HandBrake come vettore di trojan su Mac

La versione per OSX del famoso software FOSS di conversione video è stata infettata da una variante del RAT Proton. Un malintenzionato potrebbe avere accesso completo alla macchina

Roma - Problemi seri per gli utilizzatori di HandBrake per Mac. Il tool di conversione video open source è stato infettato da un trojan che potrebbe aver compromesso gli utenti che hanno scaricato il programma tra le 14:30 UTC del 2 maggio e le 11:00 UTC del 6 maggio attraverso il mirror download.handbrake.fr (successivamente messo offline). L'infezione è stata causata da un attacco ai server che ospitano il software. L'incidente è stato comunicato sabato sul forum ufficiale di HandBrake.

handbrake

Chi ha scaricato il programma nelle date e nella fascia oraria indicata ha una probabilità su due di essere stato colpito dall'infezione. Per capire se c'è stato o meno il contagio è sufficiente verificare se tra i processi attivi in OSX ce n'è uno chiamato Activity_agent. Sicuramente l'infezione ha riguardato le installazioni di HandBrake.dmg con checksum SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 e SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793.

Il metodo più semplice per rimuovere l'infezione consiste nell'aprire l'applicazione Terminale del Mac ed eseguire i seguenti comandi:

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app

Se la cartella ~/Library/VideoFrameworks/ contiene il file proton.zip, occorre rimuoverla.
Effettuata questa procedura non rimane altro da fare che accertarsi di rimuovere qualsiasi HandBrake.app presente nel proprio sistema operativo. Per ulteriore premura è bene cancellare e sostituire anche le password conservate nel browser. Il trojan è infatti una variante di OSX.PROTON, in grado di far breccia nei sistemi Mac offrendo ai malintenzionati l'accesso al sistema con accessi privilegiati e offrendo la possibilità di rubare dati connettendosi anche attraverso VNC o SSH.

A febbraio Apple aveva aggiornato il suo software di sicurezza XProtect per prevenire attacchi causati dalla prima versione del malware. Ma già dal mese di marzo ha iniziato a diffondersi il nuovo RAT (Remote Access Tool) proveniente probabilmente dagli ambienti hacker russi, in grado di bypassare i controlli di sicurezza di Apple. Si tratta dell'ennesimo caso di malware per Mac embeddato in programmi free scaricabili dal Web (si ricordi ad esempio Eleanor). In questo caso gli utenti Windows sono indenni all'attacco.

HandBrake sta intanto ripristinando i server affetti dall'attacco. Al fine di evitare ulteriori contagi, il team consiglia di effettuare sempre il download del software attraverso il suo sito ufficiale ed effettuare un controllo del checksum attraverso un confronto puntuale con quelli contenuti nella pagina dedicata.

Mirko Zago

fonte immagine
Notizie collegate
  • SicurezzaMac, un malware tuttofareBattezzato Eleanor, il nuovo malware identificato da Bitdefender fornisce accesso pressoché completo alle risorse della macchina infetta. Protetti gli utenti con Gatekeeper abilitato
  • BusinessMac OS X e il trojan contestatoLa notizia del primo trojan per Mac OS X, annunciata da un produttore di antivirus pochi giorni fa, è stata ampiamente ridimensionata da più parti. Apple, tuttavia, non intende sottovalutare l'eventuale minaccia
  • SicurezzaMac, spuntano altri due trojanI computer di Cupertino si ritrovano a fare i conti con Sabpab, nuovo malware che non richiede l'interazione dell'utente per infettare OSX. Attacca via Java o Word, ma le patch sono già disponibili
51 Commenti alla Notizia HandBrake come vettore di trojan su Mac
Ordina
  • " L'infezione è stata causata da un attacco ai server che ospitano il software."

    Vuoi vedere che erano server Linux ?! A bocca aperta
    non+autenticato
  • Quando parlo con i miei amici che usano Apple, dicono che in MAC OS ci stanno tutti i programmi che servono out of the box, che i programmi Apple sono i migliori.. e poi si fanno infettare il MacOs in questa maniera ?
    non+autenticato
  • Sì, per farsi inculare dal malware!

    https://arstechnica.com/information-technology/201.../

    AHAHAHAHAHAHAHAHAHAHAHAHA!!!

    Ma voi winari e allocchi vari che pensano di essere al sicuro grazie agli antivirus, avete mai pensato di fare un bel viaggio a Lourdes? Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: ...
    > Sì, per farsi inculare dal malware!
    >
    > https://arstechnica.com/information-technology/201
    >
    > AHAHAHAHAHAHAHAHAHAHAHAHA!!!
    >
    > Ma voi winari e allocchi vari che pensano di
    > essere al sicuro grazie agli antivirus, avete mai
    > pensato di fare un bel viaggio a Lourdes?
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    Stai parlando di windows defender,una soluzione antivirus alquando scadente se confrontata con i big del settore, tanto che un paio di anni fa era persino sparita nella lista dei migliori antivirus.

    E tu ingenuo applefan che credi di essere al sicuro con Mac OS ne vogliamo parlare ?A bocca aperta
    non+autenticato
  • Xprotect , quello di default , é aggiornato. Sorride
    non+autenticato
  • - Scritto da: ..4 puntini
    > Xprotect , quello di default , é aggiornato. Sorride

    E quindi? Quello che si vede nei risultati su Virustotal è quello infetto.

    E anche per handbrake.dmb (nell'articolo) non è vada molto meglio:

    https://virustotal.com/en/file/013623e5e50449bbdf6.../
    non+autenticato
  • Al momento 8 su 56. È passata una settimana da quando è stato compromesso.

    E qui c'è gente che crede ancora che un antivirus sia un'ottima protezione. Dimmi tu.
    non+autenticato
  • Xprotect , quello ATTIVO DI DEFAULT , lo vede. E tanto basta.

    Poi se non ci arrivi son cazzi tuoi.
    non+autenticato
  • - Scritto da: ...
    > Xprotect , quello ATTIVO DI DEFAULT , lo vede. E
    > tanto
    > basta.
    >
    > Poi se non ci arrivi son cazzi tuoi.

    Niente, non ce la puoi fare. Ti faccio vedere che dopo una settimana il 95% degli antivirus ancora non vede i due file (il giorno stesso della compromissione, così come il giorno dopo ZERO antivirus lo vedevano) e tu ti senti sicuro con l'antivirus. Metti veramente tristezza per quanto riesci a farti prendere per il culo.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ...
    > > Xprotect , quello ATTIVO DI DEFAULT , lo vede. E
    > > tanto
    > > basta.
    > >
    > > Poi se non ci arrivi son cazzi tuoi.
    >
    > Niente, non ce la puoi fare. Ti faccio vedere che
    > dopo una settimana il 95% degli antivirus ancora
    > non vede i due file (il giorno stesso della
    > compromissione, così come il giorno dopo ZERO
    > antivirus lo vedevano) e tu ti senti sicuro con
    > l'antivirus.

    Con quel 95% di antivirus non mi sentirei certo al sicuro. Ma su un Mac , con xprotect che é attivo di default , si.

    Adesso ci arrivi o vuoi il disegnino ?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ...
    > > - Scritto da: ...
    > > > Xprotect , quello ATTIVO DI DEFAULT ,
    > lo vede.
    > E
    > > > tanto
    > > > basta.
    > > >
    > > > Poi se non ci arrivi son cazzi tuoi.
    > >
    > > Niente, non ce la puoi fare. Ti faccio
    > vedere
    > che
    > > dopo una settimana il 95% degli antivirus
    > ancora
    > > non vede i due file (il giorno stesso della
    > > compromissione, così come il giorno dopo ZERO
    > > antivirus lo vedevano) e tu ti senti sicuro
    > con
    > > l'antivirus.
    >
    > Con quel 95% di antivirus non mi sentirei certo
    > al sicuro. Ma su un Mac , con xprotect che é
    > attivo di default ,
    > si.
    >
    e fai male. ma del resto... sei un macacoSorride

    < Ok, so kudos to Apple for the quick turn around on signatures....but the signature is:

        1) just a SHA-1 hash
        2) matches on the trojaned Handbrake binary (HandBrake.app/Contents/MacOS/HandBrake on the .dmg)

    This means
    A)if the malware authors used any other infection vector,
    B) or even just recompiled the trojaned binary, this signature would no longer flag the malware :/ Do people still say 'yolo'?

    And (C) even if you don't have source code, you can just flip a single bit in the binary to thwart the signature.
    >
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: ...
    > > - Scritto da: ...
    > > > - Scritto da: ...
    > > > > Xprotect , quello ATTIVO DI
    > DEFAULT
    > ,
    > > lo vede.
    > > E
    > > > > tanto
    > > > > basta.
    > > > >
    > > > > Poi se non ci arrivi son cazzi
    > tuoi.
    > > >
    > > > Niente, non ce la puoi fare. Ti faccio
    > > vedere
    > > che
    > > > dopo una settimana il 95% degli
    > antivirus
    > > ancora
    > > > non vede i due file (il giorno stesso
    > della
    > > > compromissione, così come il giorno
    > dopo
    > ZERO
    > > > antivirus lo vedevano) e tu ti senti
    > sicuro
    > > con
    > > > l'antivirus.
    > >
    > > Con quel 95% di antivirus non mi sentirei
    > certo
    > > al sicuro. Ma su un Mac , con xprotect che é
    > > attivo di default ,
    > > si.
    > >
    > e fai male. ma del resto... sei un macacoSorride
    >
    > < Ok, so kudos to Apple for the quick turn
    > around on signatures....but the signature
    > is:
    >
    >     1) just a SHA-1 hash
    >     2) matches on the trojaned Handbrake binary
    > (HandBrake.app/Contents/MacOS/HandBrake on the
    > .dmg)
    >
    > This means
    > A)if the malware authors used any other infection
    > vector,
    >
    > B) or even just recompiled the trojaned binary,
    > this signature would no longer flag the malware
    > :/ Do people still say
    > 'yolo'?
    >
    > And (C) even if you don't have source code, you
    > can just flip a single bit in the binary to
    > thwart the signature.
    >
    > >

    AHAHAHAHAHAHAHAHAHAH!!! Siamo veramente alla demenza.

    Poveracci, fanno veramente pena.
    non+autenticato
  • - Scritto da: bubba

    [CUT]

    > < Ok, so kudos to Apple for the quick turn
    > around on signatures....but the signature
    > is:
    >
    >     1) just a SHA-1 hash
    >     2) matches on the trojaned Handbrake binary
    > (HandBrake.app/Contents/MacOS/HandBrake on the
    > .dmg)

    Si parla di XProtect, è esatto. Non è un antivirus, è una blacklist... uno strumento che Apple ha predisposto per impedire la diffusione a macchia d'olio di alcune minacce specifiche. Non ha euristiche, ad esempio...

    >
    > This means
    > A)if the malware authors used any other infection
    > vector,
    >
    > B) or even just recompiled the trojaned binary,
    > this signature would no longer flag the malware
    > :/ Do people still say
    > 'yolo'?
    >
    > And (C) even if you don't have source code, you
    > can just flip a single bit in the binary to
    > thwart the signature.
    >
    > >

    Tutto giusto, se ci si limita ad osservare il funzionamento del solo XProtect... è anche vero che di default, chi mettesse in atto i punti B e C verrebbe comunque bloccato dall'altro strumento presente e attivo di default su OSX, ovvero Gatekeeper, che non riconoscendo la firma fermerebbe il tutto. Non è un antivirus nemmeno quello ma agisce sul principio della whitelist basata sui certificati digitali.

    Distinguiamo allora tra vulnerabilità dell'OS (che pure ci sono e non potrebbe essere altrimenti), feature vs carenze di sicurezza (senza antivirus si rischia senz'altro di più) e comportamenti inadeguati dell'utente (il vero punto debole della catena, indipendentemente da tutti gli altri fattori).
  • "A febbraio Apple aveva aggiornato il suo software di sicurezza XProtect per prevenire attacchi causati dalla prima versione del malware. Ma già dal mese di marzo ha iniziato a diffondersi il nuovo RAT (Remote Access Tool) proveniente probabilmente dagli ambienti hacker russi, in grado di bypassare i controlli di sicurezza di Apple. "


    La supersicurezza di apple Rotola dal ridere
    non+autenticato
  • - Scritto da: F Type
    > "A febbraio Apple aveva aggiornato il suo
    > software di sicurezza XProtect per prevenire
    > attacchi causati dalla prima versione del
    > malware. Ma già dal mese di marzo ha iniziato a
    > diffondersi il nuovo RAT (Remote Access Tool)
    > proveniente probabilmente dagli ambienti hacker
    > russi, in grado di bypassare i controlli di
    > sicurezza di Apple.
    > "
    >
    >
    > La supersicurezza di apple Rotola dal ridere

    Stavo quasi per spiegarti alcune cose ma preferisco lasciarti nel tuo brodo di ignoranza.

    Stammi bene.
    non+autenticato
  • - Scritto da: ...

    > Stavo quasi per spiegarti alcune cose ma
    > preferisco lasciarti nel tuo brodo di ignoranza.

    Tu non puoi spiegare nulla, idiotino di un applefanA bocca aperta
    non+autenticato
  • - Scritto da: F Type
    > Tu non puoi spiegare nulla, idiotino di un
    > applefan
    Lui sarà quello che sarà ma il tuo atteggiamento e la tua risposta ti mettono al suo livello
    Scendi dal tuo trono di cretinate, non esiste nessun sistema sicuro
    non+autenticato
  • - Scritto da: 4punteggi
    > - Scritto da: F Type
    > > Tu non puoi spiegare nulla, idiotino di un
    > > applefan
    > Lui sarà quello che sarà ma il tuo atteggiamento
    > e la tua risposta ti mettono al suo
    > livello
    > Scendi dal tuo trono di cretinate, non esiste
    > nessun sistema
    > sicuro

    Si parla di apple, qua.

    E il sistema apple non e' sicuro.
    Neanche dopo che dicono di aver corretto la vulnrabilita'.

    Quindi la storiella che nessun sistema e' sicuro valla a raccontare all'asilo.

    Qui c'e' solo da vergognarsi per come e' stata trattata gente che ha dormito per terra per due notti in fila e ha lasciato l'equivalente di due stipendi, per avere un inutile oggetto buggato.
  • - Scritto da: panda rossa
    > - Scritto da: 4punteggi
    > > - Scritto da: F Type
    > > > Tu non puoi spiegare nulla, idiotino di
    > un
    > > > applefan
    > > Lui sarà quello che sarà ma il tuo
    > atteggiamento
    > > e la tua risposta ti mettono al suo
    > > livello
    > > Scendi dal tuo trono di cretinate, non esiste
    > > nessun sistema
    > > sicuro
    >
    > Si parla di apple, qua.
    >
    > E il sistema apple non e' sicuro.
    > Neanche dopo che dicono di aver corretto la
    > vulnrabilita'.
    >
    > Quindi la storiella che nessun sistema e' sicuro
    > valla a raccontare
    > all'asilo.

    Stai forse negando che nessun sistema é sicuro ?

    Ma vai a cagare.
    non+autenticato
  • - Scritto da: panda rossa
    > Si parla di apple, qua.
    Da che pulpito, quello che parla di politica mentre si parla di marmellata
    > Quindi la storiella che nessun sistema e' sicuro
    > valla a raccontare
    > all'asilo.
    Quindi qui
    > Qui c'e' solo da vergognarsi per come e' stata
    > trattata gente che ha dormito per terra per due
    > notti in fila e ha lasciato l'equivalente di due
    > stipendi, per avere un inutile oggetto buggato.
    Quelli invece che vivono in cantina invece devono stare tranquilli per default vero?
    non+autenticato
  • - Scritto da: 4punteggi

    > Da che pulpito, quello che parla di politica
    > mentre si parla di
    > marmellata

    Da che pulpito quello che apre la vocca e gli da fiato, tipico dell'applefan ;D

    > Quelli invece che vivono in cantina invece devono
    > stare tranquilli per default
    > vero?

    Ahahah no ma veramente vuoi paragonare la preparazione di utente Linux a quella di un Mac ? Veramente sei così autolesionista ? Rotola dal ridere
    non+autenticato
  • - Scritto da: panda rossa
    >
    > Qui c'e' solo da vergognarsi per come e' stata
    > trattata gente che ha dormito per terra per due
    > notti in fila

    Meglio due notti per strada che una vita in cantina
    non+autenticato
  • - Scritto da: Ubaldo
    >
    > Meglio due notti per strada che una vita in cantina

    ayyyyy Rotola dal ridere
  • - Scritto da: Ubaldo

    > Meglio due notti per strada che una vita in
    > cantina

    Nel vostro caso "meglio essere un decerebrato ignorante applefan che non sa fare un cavolo" ....e la frase non continuaA bocca aperta
    non+autenticato