Предупреждение для тех, кто недавно скачал конвертер Handbrake

Предупреждение для тех, кто недавно скачал конвертер Handbrake

Утилита Handbrake предназначена для конвертирования на Маке видео из одного формата в другой. Чаще всего с ее помощью готовят видео для загрузки на iOS-устройства, реже — оцифровывают старые DVD. И именно оно пало жертвой злоумышленников в начале мая.

Как сообщили разработчики Handbrake, 2 мая 2017 года пока неизвестный человек или группа людей подменили установочный образ диска приложения на одном из «зеркал». В нем, помимо самого приложения, также находилась новая вариация трояна OSX.PROTON. В момент первого запуска Handbrake как будто спрашивает у вас разрешения на установку дополнительных кодеков, но на самом деле пытается установить в систему тот самый «протон».

После успешного внедрения троян начинает собирать с машины пользователя едва ли не всю полезную для себя информацию. В папке ~/Library/VideoFrameworks появятся скрытые архивы:

  • KC.zip — копия данных из Связки ключей (тут хранятся все сохраненные вами пароли).
  • CR.zip — данные по профилю пользователя в браузере Chrome, история, кэш.
  • CR_def.zip — стандартный набор данных браузера Chrome.
  • FF.zip — все то же самое, но для браузера Firefox.
  • SF.zip — файлы cookies и история Safari.
  • OP.zip — данные по пользователю в браузере Opera.
  • proton.zip — содержит все вышеуказанные архивы.

В дальнейшем эти архивы, скорее всего, будут заливаться на удаленный сервер для передачи злоумышленнику. А так как помимо прочего утекают данные связки ключей, то последствия могут быть для пользователя крайне печальными.

Если вы имели неосторожность загрузить Handbrake к себе на машину в период со 2 по 6 мая, то гляньте в утилите Мониторинг системы наличие процесса «activity_agent». Если оно там есть, то джек-пот ваш.

Для удаления трояна запустите Терминал и выполните в нем три команды:

  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app
  • И конечно, проверьте папку VideoFrameworks и удалите оттуда архивы с данными. Если же боитесь или не знаете что с этим делать — заезжайте к нам, решим вопрос.

    Остается добавить, что пока масштаб бедствия, равно как и личности злоумышленников неизвестны. Хорошие новости заключаются в том, что актуальность Handbrake нынче не та, что прежде, а значит есть надежда, что счет едет даже не на сотни зараженных машин. Впрочем, это не мешает быть настороже. Тем более, что не так давно ровно таким же способом была заражена сборка популярного торрент-клиента Transmission. Нехорошие люди точно нашли новый способ заражать машины пользователей.

«Троян» в торрент-клиенте Transmission и что дальше делать

«Троян» в торрент-клиенте Transmission и что дальше делать

Вечер воскресенья 6 марта неожиданно перестал быть томным, когда разработчики торрент-клиента Transmission признались в наличии «трояна» в одной из последних версий своего приложения. На нашей памяти, это первая проблема с вредоносным ПО в системе OS X такого масштаба за последние лет десять. Будем разбираться по пунктам.

1. Что именно было заражено?

Mac-Large

28 февраля этого года вышла версия клиента Transmission за номером 2.90. Каким образом злоумышленникам удалось внедрить в эту сборку установщик «трояна» KeRanger пока неизвестно, так как представители проекта Transmission от комментариев отказываются. Однако факт остается фактом — неделю назад под ударом оказались тысячи Маков.

2. Что делает KeRanger?

3

Этот «троян» надо отнести к такой набирающей популярность категории вредоносного ПО, как ransomware. Подобные приложения, попав на машину пользователя, шифруют частично или полностью данные пользователя. Пароль для расшифровки обычно предлагается взамен за определенную сумму денег, обычно в одной из электронных валют. Иными словами, речь идет о вымогательстве. Хорошая новость, случаев потери данных у Мак-пользователей пока не выявлено.

3. Ок, я скачал — что мне делать прямо сейчас?

Во-первых, без паники. Во-вторых… Запускаем Мониторинг системы (Activity Monitor) из папки Программы -> Утилиты. Далее, на всякий случай, из меню Вид выбираем отображение Всех процессов…

Снимок экрана 2016-03-06 в 21.51.54

Теперь сортируем процессы в алфавитном порядке и ищем один под названием «kernel_service». Если нашли, то дважды нажимайте на него. В появившемся окне во вкладке «Открытые порты и файлы» ищем файл, расположенный примерно по такому пути:

/Users//Library/kernel_service

Нашли? Завершаем процесс. Удаляем Transmission.

4. А дальше?

0qRKARR

Дальше можно выдохнуть. Если без торрентов вам не жить, то идем на сайт Transmission и скачиваем свежую версию за номером 2.91, из которой «троян» убрали. Возможно, вы захотите сменить торрент-клиент и тут мы вас винить не можем. Давно пользуемся BitTorrent.

5. А что Apple?

Screenshot

Apple отреагировала так, как только и могла отреагировать. Компания отозвала доверенный сертификат у разработчиков Transmission, поэтому если у кого-то стояла опция в настройках ставить приложения только из Mac App Store и проверенных разработчиков — а она включена по умолчанию — то установить это приложение на автомате уже не получится. Также описание KeRanger было добавлено в систему защиты OS X под названием Xprotect, которая не позволит запустить проблемную версию клиента, даже если она была загружена.

Эпилог

На самом деле, перед нами прекрасно спланированная и проведенная атака непосредственно против Мак-пользователей — именно под них и «заточен» KeRanger. Очень любопытен и способ доставки «трояна»: его авторы не стали заражать отдельные машины, а умудрились внедрить свой модуль в приложение, которому доверяют миллионы пользователей. Очень ждем рассказа от команды Transmission — это будет настоящий детектив. 

Однако означает ли нынешний инцидент, что безоблачная эпоха и вера в непробиваемость системы OS X позади? Сложно сказать. Наш совет будет простой и состоять из двух частей. Первое: не качайте что ни попадя. Второе: не спешите обновляться. 😉