Officiële Mac-app HandBrake besmet met malware
Aanvallers zijn er deze week in geslaagd om een downloadserver van de populaire Mac-app HandBrake te compromitteren en zo een besmette versie onder gebruikers te verspreiden. Daarvoor waarschuwen de ontwikkelaars op het eigen forum. HandBrake is een gratis opensource-app voor het omzetten van video.
Volgens het ontwikkelteam heeft iedereen die HandBrake tussen 2 mei 16:30 uur Nederlandse tijd en 6 mei 13:00 uur Nederlandse tijd een 50 procent kans om een getrojaniseerde versie te hebben gedownload. Het gaat om een nieuwe variant van de Proton Trojan waarmee een aanvaller wachtwoorden en bestanden kan stelen, de webcam kan gebruiken en aanvullende malware kan installeren. Het HandBrake-ontwikkelteam adviseert getroffen gebruikers dan ook om alle wachtwoorden in hun macOS-Keychain en browser te veranderen.
Apple is daarnaast begonnen om Mac-computers via de ingebouwde virusverwijdertool XProtect tegen de malware te beschermen en wanneer aangetroffen die te verwijderen. Gebruikers kunnen de malware via de Activity Monitor van macOS herkennen aan een proces genaamd "Activity_agent". Op Hacker News wordt gemeld dat de originele ontwikkelaar van HandBrake ook de Mac-app TransMission heeft ontwikkeld. Een jaar geleden lukte het aanvallers twee keer om in de officiële versie van TransMission malware te verbergen. In maart ging het om ransomware, terwijl er in augustus een backdoor aan de software werd toegevoegd die wachtwoorden uit de Keychain stal.
Duidelijk op de korrel en in het vizier die ze moet hebben.
Maar, belangrijke aanvulling : al sinds ± 2 juni 2015 staat er een luid en duidelijke waarschuwing op die site.
Als je die nu genegeerd had om dat je te lui was om te controleren wat je had gedownload.
Tja, haastige spoed?
Op webarchive.org terug te vinden
https://handbrake.fr/checksums.php
We are not currently able to sign the HandBrake downloads. Since our download is not code signed, OSX will flag the application as from an unidentified developer. To work around this, please read their Open an app from an unidentified developer help article.
For more detailed information about the Gatekeeper feature in OSX, please see the About Gatekeeper article.
Verify your Download
Please take note that HandBrake.fr is the only official place where HandBrake can be downloaded from.
There are many unofficial mirrors of HandBrake and while most of them offer legit versions of HandBrake, there are a few that don't.
As such, if you decide to download from an unofficial mirror, we highly recommend that you verify that you have an official build of HandBrake. You can do this by checking the checksum against the list of checksums for the official versions. Please see the Checksums page.
Er gaan dingen niet goed, wat ze in tegenstelling tot anderen wel al jaren goed doen is netjes shasums publiceren!
Of het verstandig is dat weer onder hetzelfde domein aan te bieden kan daarbij nog een puntje van aandacht zijn.
Een kleine check van december versies op webarchive laat zien dat er toen in ieder geval geen shasums afweken van wat er nu staat.
Nog 1 tja dan, waarop zou deze ontwikkelaar nog steeds geen Apple developers id hebben?
Het maakt op zijn minst weer een security beetje uit.
En elk laagje extra is goed.
ESET-NOD32: OSX/Proton.A 20170508
Ikarus: Win32.Outbreak 20170508
Waarbij die laatste natuurlijk onzin is (in elk geval een false positive onder Windows).
https://www.virustotal.com/en/file/013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793/analysis/1494230874/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
