Предупреждение для тех, кто недавно скачал конвертер Handbrake
Утилита Handbrake предназначена для конвертирования на Маке видео из одного формата в другой. Чаще всего с ее помощью готовят видео для загрузки на iOS-устройства, реже — оцифровывают старые DVD. И именно оно пало жертвой злоумышленников в начале мая.
Как сообщили разработчики Handbrake, 2 мая 2017 года пока неизвестный человек или группа людей подменили установочный образ диска приложения на одном из «зеркал». В нем, помимо самого приложения, также находилась новая вариация трояна OSX.PROTON. В момент первого запуска Handbrake как будто спрашивает у вас разрешения на установку дополнительных кодеков, но на самом деле пытается установить в систему тот самый «протон».
После успешного внедрения троян начинает собирать с машины пользователя едва ли не всю полезную для себя информацию. В папке ~/Library/VideoFrameworks появятся скрытые архивы:
- KC.zip — копия данных из Связки ключей (тут хранятся все сохраненные вами пароли).
- CR.zip — данные по профилю пользователя в браузере Chrome, история, кэш.
- CR_def.zip — стандартный набор данных браузера Chrome.
- FF.zip — все то же самое, но для браузера Firefox.
- SF.zip — файлы cookies и история Safari.
- OP.zip — данные по пользователю в браузере Opera.
- proton.zip — содержит все вышеуказанные архивы.
В дальнейшем эти архивы, скорее всего, будут заливаться на удаленный сервер для передачи злоумышленнику. А так как помимо прочего утекают данные связки ключей, то последствия могут быть для пользователя крайне печальными.
Если вы имели неосторожность загрузить Handbrake к себе на машину в период со 2 по 6 мая, то гляньте в утилите Мониторинг системы наличие процесса «activity_agent». Если оно там есть, то джек-пот ваш.
Для удаления трояна запустите Терминал и выполните в нем три команды:
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
И конечно, проверьте папку VideoFrameworks и удалите оттуда архивы с данными. Если же боитесь или не знаете что с этим делать — заезжайте к нам, решим вопрос.
Остается добавить, что пока масштаб бедствия, равно как и личности злоумышленников неизвестны. Хорошие новости заключаются в том, что актуальность Handbrake нынче не та, что прежде, а значит есть надежда, что счет едет даже не на сотни зараженных машин. Впрочем, это не мешает быть настороже. Тем более, что не так давно ровно таким же способом была заражена сборка популярного торрент-клиента Transmission. Нехорошие люди точно нашли новый способ заражать машины пользователей.