當前,惡意軟件越來越多,也越來越隱蔽,Mac系統也不例外。近日,開源視頻轉換器應用程序HandBrake的開發人員警告稱,最近下載Mac版本軟件的用戶,他們的設備可能感染了惡意軟件。
HandBrake上週星期六警告用戶,稱其鏡像下載服務器遭到入侵,在 UTC(世界標準時間)5 月 2 日 14:30到 5 月 6 日 11:00之間下載 Mac 版 HandBrake 的用戶在運行程序前需要檢查文件的 HA1 / 256 哈希值,已經安裝的用戶需要檢查OSX 活動監視程序中是否有 Activity_agent 的進程,如果有那麼可以確定這部分用戶的電腦已經感染了惡意程序。
“安裝了Mac版本的HandBrake需要驗證他們的系統是不是感染了木馬,”一份公告說。“如果您在此期間下載了HandBrake,您有一半的機會可能下載了植入惡意程序的應用。”
然而,蘋果已經推出了XProtect簽名,以防止任何新的感染。同時,HandBrake還建議用戶更改OSX KeyChain中的所有密碼或者瀏覽器中存儲的密碼。
HandBrake是視頻轉換軟件,從各種格式轉換為支持的編解碼器的免費軟件。有Windows,Mac和Linux版本。這次警告來自Mac版本。開發人員建議在運行軟件之前驗證SHA1或SHA256的和。
帶有以下校驗和的 HandBrake.dmg 文件是已經被感染了的:
SHA1:0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256:013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
“如果您在OSX活動監視器應用程序中看到一個名為“activity_agent”的進程,那麼就意味著您被感染了。
Proton是在俄羅斯地下論壇銷售的遠程訪問木馬或RAT。Sixgill的研究人員發表了Mac版本惡意軟件的分析,該惡意軟件用於監視受害者的活動;它可以監視按鍵,將文件上傳到遠程機器,從網絡下載文件,竊取屏幕截圖,並通過SSH或遠程管理工具(如VNC)直接連接。
Sixgill的報告說:“這個惡意軟件隨附了正版的Apple代碼簽名。這意味著Proton RAT的開發者通過蘋果在MAC OS開發者的第三方軟件上進行了嚴格的過濾處理,並獲得了程序的真實證書。”
Mac安全專家Patrick Wardle在上星期六的Objective-See博客上表示,Proton變體沒有覆蓋VirusTotal的反惡意軟件引擎。Wardle表示,當受感染的HandBrake應用程序運行時,它會通過一個虛假的身份驗證彈出窗口詢問用戶憑據。
“如果用戶提供了用戶名和密碼,惡意軟件將自行安裝,”Wardle說,憑據還允許惡意軟件提升權限。
通過入侵鏡像下載服務器,攻擊者可以參照其他Mac惡意軟件提供的路線圖,例如KeRanger,它感染了同一作者開發的合法BitTorrent客戶端傳輸。HandBrake團隊表示,它不與傳輸共享基礎架構。
HandBrake還提供了從終端應用程序中刪除木馬的說明。
設備被感染的用戶,需要打開 Terminal 然後運行以下指令才可刪除惡意軟件:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app
if ~/Library/VideoFrameworks/ contains proton.zip,刪除文件夾。
然後,用戶還需要將他們在系統上安裝的任何 Handbrake.app 都刪除掉。安全起見,用戶最好更改 OSX KeyChain 或者任何瀏覽器中保存的密碼。
Handbrake 用戶如果是通過主要下載鏡像或 Handbrake 網站下載,或者是應用內置的更新器 1.0 版本下載的話,那麼你可以安心,這些地方的文件都沒有受到影響。但如果用戶使用的是 Handbrake 0.10.5 或更早版本的話,建議你們也檢查自己的系統是否被感染。
本次的惡意軟件是 OSX.PROTON 的變體,蘋果今年 2 月份更新了 XProtect 以防範原始 Proton 惡意軟件。上週六蘋果再次更新 了XProtect,目前用戶設備應該已經自動更新了。
-END-
本文由網安視界(網絡空間安全情報站和智庫)獨家創作整理,轉載請註明出處。