Если вы скачали популярную программу-транскодер HandBrake для OS X с официального сайта в период со 2 по 6 мая 2017 года, то с вероятностью 50% вместе с ней была Proton RAT — программа для удалённого управления компьютером. После взлома сервера HandBrake неизвестные лица подменили официальный дистрибутив, подсадив туда «крысу», как иногда называют программы RAT на жаргоне.
Файл HandBrake-1.0.7.dmg на зеркале download.handbrake.fr подменили другим файлом, хеш которого не совпадает с контрольными суммами, перечисленными на странице https://github.com/HandBrake/HandBrake/wiki/Checksums.
HandBrake — свободное и бесплатное программное обеспечение для транскодирования цифровых видеофайлов, изначально разработанное в 2003 году, чтобы облегчить рипы DVD, то есть копирование фильмов с DVD-диска на HDD. С тех пор программа претерпела множество измений и сейчас используется преимущественно для транскодирования уже готовых файлов. Например, после скачивания с торрентов версии в максимальном качестве требуется сделать копию для iPhone или Android-устройства с приемлемым разрешением и размером. Во время транскодирования HandBrake позволяет установить нужный битрейт, максимальный размер файла или изменять битрейт при «постоянном качестве». Программа поддерживает множество специфических функций, в том числе деинтерлейсинг, масштабирование изображения, кадрирование, удаление артефактов «расчёски» (decombing) и другие эффекты постпроизводства. Есть возможность обрабатывать файлы в пакетном режиме, составляя списки работы через GUI или текстовый интерфейс в консоли. HandBrake поддерживает множество входных и выходных форматов как для видео, так и для аудио.
Существуют версии HandBrake для Linux, macOS и Windows, но в данном случае хакеры подменили только версию под macOS.
Сообщение о взломе зеркала офсервера загрузки опубликовано на форуме HandBrake утром 6 мая 2017 года. Оно гласит, что все скачавшие официальный клиент HandBrake для Mac в период со 2 мая 14:30 UTC по 6 мая 11:00 UTC, должны проверить хеши SHA1 или SHA256, прежде чем запускать файл.
Если вы не успели проверить файл и уже запустили программу, то нужно исследовать компьютер на предмет наличия трояна. Он присутствует в системе с вероятностью 50/50, если вы скачали программу в указанный период. Разработчики подчёркивают, что встроенная программа обновлений 1.0 или более высокой версии не могла установить трояна. С версии 1.0 она проверяет цифровую подпись и не устанавливает обновление, если подпись не совпадает. А вот более ранние версии программы обновления не проверяют подпись, так что они могли установить файл со встроенным RAT.
Определить троян на компьютере можно по наличию процесса
Activity_agent в приложении OSX Activity Monitor.Если у вас сохранился скачанный файл HandBrake.dmg, то можете проверить хеши заражённых файлов:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Если у вас такой хеш, то файл инфицирован.
Как сообщается, вместе с транскодером поставлялась новая версия RAT под названием OSX.PROTON. Эту программу впервые заметили в продаже на российских подпольных форумах в феврале 2017 года.
Для удаления программы следует открыть терминал и выполнить следующие команды:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plistrm -rf ~/Library/RenderFiles/activity_agent.app- Если директория
~/Library/VideoFrameworks/содержит proton.zip, то удалить папку
Затем удалить все установки HandBrake.app, какие имеются.
Дальнейшие действия
Поскольку данный RAT (вероятно, российской разработки) полностью контролирует компьютер жертвы, то следует считать компьютер и всю информацию на нём скомпрометированным. Следовательно, нужно заменить все пароли, которые хранились в операционной системе и браузере, а также те, которые вы набирали вручную в последнее время.
Сейчас в открытом доступе есть удобные инструменты, с помощью которых можно проверить любой файл сразу во всех антивирусах (типа VirusTotal). Злоумышленники обычно проверяют файлы зловредов после обфускации — насколько удачно обфусцированы файлы. Если антивирусы не определяют программу — то её можно распространять. Именно поэтому встроенный антивирус macOS XProtect не определил трояна. Сейчас Apple обновляет базу сигнатур. Возможно, вчера или сегодня обновление уже должно дойти до пользователей.
Имейте в виду, что с сервисами вроде VirusTotal обновление сигнатур всегда будет происходить после распространения нового зловреда и его установки на компьютеры пользователей. Никто не будет распространять зловред, если он детектируется антивирусами. Следовательно, во многом теряется смысл работы антивируса на компьютере, тем более что и сами антивирусы — это дополнительная брешь в безопасности системы.
В данный момент зеркало download.handbrake.fr временно закрыто для проведения расследования. В то же время основное официальное зеркало продолжает работать, так что вы можете скачать официальную версию программу транскодера. Правда, скорость скачивания снизилась из-за повышенной нагрузки на сервер. Зато программа HandBrake теперь, скорее всего, без трояна.
Дежа вю
Интересно, что основной разработчик программы HandBrake является также автором торрент-клиента Transmission. Не поверите, но в марте 2016 года неизвестные хакеры взломали официальный сервер Transmission и подменили оригинальный файл версией со зловредом KeRanger. А ещё через пару месяцев то же самое зеркало опять взломали, на этот раз внедрив в официальный клиент зловред OSX/Keydnap.
Комментарии (5)
sotnikdv
09.05.2017 00:19-1Epic fail. Общий и конкретного девелопера. 2017 год, а мы как не умели толком проверять подписи при установке и апдейте, так и не умеем.
Фейл девелопера в том, что проверка на апдейте средствами софтины ведь не требует никакого взаимодействия со сторонними организациями для задействования проверки на ОС. Чисто в коде самому можно делать. Не умеешь проверять подписи, не делай свой апдейтер. Оставь системе.
Фейл общий в процедуре начальной инсталляции и потом апдейта средствами системы, где нужно как то задействовать проверку на уровне ОС, в коде системного инсталлятора. А это требует взаимодействия с разработчиком ОС (подписать или добавить сертификат и т.д). Или просить юзера что-то добавить в конфигурацию (ключ, репу). Что не всегда удобно и потребует разной процедуры инсталяции на разных ОС.
В общем, правильный путь отдать установку и апдейт системе. И линух тут наиболее близок к идеалу. Репозитории с ключами. Системные и кастомные.
Макос и винда имеют какие-то системные проверки подписи, но если ты мелкая компания, то этот механизм для тебя не очень удобен. И без проверки поставиться легко.
ИМХО система должна облегчать менеджмент ключей и затруднять установку с неизвестной подписью. И система должна рулить установкой и апдейтом, а не самописные апдейтеры. И Имхо линух тут достаточно хороший пример.
pronvit
09.05.2017 04:43+3При чем тут вообще апдейты, если просто установочный файл на сайте подменили, который пользователи руками скачивают.
Если говорить об апдейтах, то стандарт в этом деле на macOS — фреймворк Sparkle, который, конечно, проверяет подписи.
Если говорить о ручной установке, то механизм проверки подписей в macOS вполне себе удобен и для мелких, и для любых разработчиков. Другое дело, что возможность обойти проверку у пользователя все равно остается, что и будут люди делать, не зная, должна быть подпись или просто нет.
DagothNik
Тут в пору уже карантинную папку под новые версии программ заводить. Если за два (три, шесть и т.д. в зависимости от степени паранойи и важностей данных на Мас) месяца ничего не обнаружили, можно обновляться. Хотя о чем это я, так давно пора было уже сделать.
Areso
Windows так и делает. Особенно смешно, когда он не может накопить статистику, и потому помечает даже месячной давности релиз как опасный.
Areso
Возможно я не прав, но я регулярно компилирую программы и смотрю, как на них реагирует Windows SmartScreen. Если у кого-то есть обратный опыт, я прошу им поделиться. Я буду только рад, если Windows SmartScreen перестанет пугать домохозяек моими приложениями.