Officiële Mac-app HandBrake besmet met malware
Aanvallers zijn er deze week in geslaagd om een downloadserver van de populaire Mac-app HandBrake te compromitteren en zo een besmette versie onder gebruikers te verspreiden. Daarvoor waarschuwen de ontwikkelaars op het eigen forum. HandBrake is een gratis opensource-app voor het omzetten van video.
Volgens het ontwikkelteam heeft iedereen die HandBrake tussen 2 mei 16:30 uur Nederlandse tijd en 6 mei 13:00 uur Nederlandse tijd een 50 procent kans om een getrojaniseerde versie te hebben gedownload. Het gaat om een nieuwe variant van de Proton Trojan waarmee een aanvaller wachtwoorden en bestanden kan stelen, de webcam kan gebruiken en aanvullende malware kan installeren. Het HandBrake-ontwikkelteam adviseert getroffen gebruikers dan ook om alle wachtwoorden in hun macOS-Keychain en browser te veranderen.
Apple is daarnaast begonnen om Mac-computers via de ingebouwde virusverwijdertool XProtect tegen de malware te beschermen en wanneer aangetroffen die te verwijderen. Gebruikers kunnen de malware via de Activity Monitor van macOS herkennen aan een proces genaamd "Activity_agent". Op Hacker News wordt gemeld dat de originele ontwikkelaar van HandBrake ook de Mac-app TransMission heeft ontwikkeld. Een jaar geleden lukte het aanvallers twee keer om in de officiële versie van TransMission malware te verbergen. In maart ging het om ransomware, terwijl er in augustus een backdoor aan de software werd toegevoegd die wachtwoorden uit de Keychain stal.
Duidelijk op de korrel en in het vizier die ze moet hebben.
Maar, belangrijke aanvulling : al sinds ± 2 juni 2015 staat er een luid en duidelijke waarschuwing op die site.
Als je die nu genegeerd had om dat je te lui was om te controleren wat je had gedownload.
Tja, haastige spoed?
Op webarchive.org terug te vinden
https://handbrake.fr/checksums.php
We are not currently able to sign the HandBrake downloads. Since our download is not code signed, OSX will flag the application as from an unidentified developer. To work around this, please read their Open an app from an unidentified developer help article.
For more detailed information about the Gatekeeper feature in OSX, please see the About Gatekeeper article.
Verify your Download
Please take note that HandBrake.fr is the only official place where HandBrake can be downloaded from.
There are many unofficial mirrors of HandBrake and while most of them offer legit versions of HandBrake, there are a few that don't.
As such, if you decide to download from an unofficial mirror, we highly recommend that you verify that you have an official build of HandBrake. You can do this by checking the checksum against the list of checksums for the official versions. Please see the Checksums page.
Er gaan dingen niet goed, wat ze in tegenstelling tot anderen wel al jaren goed doen is netjes shasums publiceren!
Of het verstandig is dat weer onder hetzelfde domein aan te bieden kan daarbij nog een puntje van aandacht zijn.
Een kleine check van december versies op webarchive laat zien dat er toen in ieder geval geen shasums afweken van wat er nu staat.
Nog 1 tja dan, waarop zou deze ontwikkelaar nog steeds geen Apple developers id hebben?
Het maakt op zijn minst weer een security beetje uit.
En elk laagje extra is goed.
ESET-NOD32: OSX/Proton.A 20170508
Ikarus: Win32.Outbreak 20170508
Waarbij die laatste natuurlijk onzin is (in elk geval een false positive onder Windows).
https://www.virustotal.com/en/file/013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793/analysis/1494230874/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
