image

Officiële Mac-app HandBrake besmet met malware

zondag 7 mei 2017, 11:58 door Redactie, 5 reacties

Aanvallers zijn er deze week in geslaagd om een downloadserver van de populaire Mac-app HandBrake te compromitteren en zo een besmette versie onder gebruikers te verspreiden. Daarvoor waarschuwen de ontwikkelaars op het eigen forum. HandBrake is een gratis opensource-app voor het omzetten van video.

Volgens het ontwikkelteam heeft iedereen die HandBrake tussen 2 mei 16:30 uur Nederlandse tijd en 6 mei 13:00 uur Nederlandse tijd een 50 procent kans om een getrojaniseerde versie te hebben gedownload. Het gaat om een nieuwe variant van de Proton Trojan waarmee een aanvaller wachtwoorden en bestanden kan stelen, de webcam kan gebruiken en aanvullende malware kan installeren. Het HandBrake-ontwikkelteam adviseert getroffen gebruikers dan ook om alle wachtwoorden in hun macOS-Keychain en browser te veranderen.

Apple is daarnaast begonnen om Mac-computers via de ingebouwde virusverwijdertool XProtect tegen de malware te beschermen en wanneer aangetroffen die te verwijderen. Gebruikers kunnen de malware via de Activity Monitor van macOS herkennen aan een proces genaamd "Activity_agent". Op Hacker News wordt gemeld dat de originele ontwikkelaar van HandBrake ook de Mac-app TransMission heeft ontwikkeld. Een jaar geleden lukte het aanvallers twee keer om in de officiële versie van TransMission malware te verbergen. In maart ging het om ransomware, terwijl er in augustus een backdoor aan de software werd toegevoegd die wachtwoorden uit de Keychain stal.

Reacties (5)
07-05-2017, 15:29 door Anoniem
Tja, dat doet je zaakje geen goed, 3x al.
Duidelijk op de korrel en in het vizier die ze moet hebben.

Maar, belangrijke aanvulling : al sinds ± 2 juni 2015 staat er een luid en duidelijke waarschuwing op die site.
Als je die nu genegeerd had om dat je te lui was om te controleren wat je had gedownload.
Tja, haastige spoed?

Op webarchive.org terug te vinden
https://handbrake.fr/checksums.php
Unidentified Developer (OS X Download)

We are not currently able to sign the HandBrake downloads. Since our download is not code signed, OSX will flag the application as from an unidentified developer. To work around this, please read their Open an app from an unidentified developer help article.

For more detailed information about the Gatekeeper feature in OSX, please see the About Gatekeeper article.

Verify your Download

Please take note that HandBrake.fr is the only official place where HandBrake can be downloaded from.
There are many unofficial mirrors of HandBrake and while most of them offer legit versions of HandBrake, there are a few that don't.

As such, if you decide to download from an unofficial mirror, we highly recommend that you verify that you have an official build of HandBrake. You can do this by checking the checksum against the list of checksums for the official versions. Please see the Checksums page.

Er gaan dingen niet goed, wat ze in tegenstelling tot anderen wel al jaren goed doen is netjes shasums publiceren!
Of het verstandig is dat weer onder hetzelfde domein aan te bieden kan daarbij nog een puntje van aandacht zijn.
Een kleine check van december versies op webarchive laat zien dat er toen in ieder geval geen shasums afweken van wat er nu staat.

Nog 1 tja dan, waarop zou deze ontwikkelaar nog steeds geen Apple developers id hebben?
Het maakt op zijn minst weer een security beetje uit.
En elk laagje extra is goed.
07-05-2017, 17:15 door [Account Verwijderd] - Bijgewerkt: 07-05-2017, 17:18
[Verwijderd]
07-05-2017, 19:37 door [Account Verwijderd]
[Verwijderd]
08-05-2017, 10:16 door Anoniem
Na 4 en een halve dag (!) slechts 2 van 54 scanners die er iets naars in zien:
ESET-NOD32: OSX/Proton.A 20170508
Ikarus: Win32.Outbreak 20170508

Waarbij die laatste natuurlijk onzin is (in elk geval een false positive onder Windows).

https://www.virustotal.com/en/file/013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793/analysis/1494230874/
08-05-2017, 12:54 door [Account Verwijderd] - Bijgewerkt: 08-05-2017, 12:56
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.