Предупреждение для тех, кто недавно скачал конвертер Handbrake

Утилита Handbrake предназначена для конвертирования на Маке видео из одного формата в другой. Чаще всего с ее помощью готовят видео для загрузки на iOS-устройства, реже — оцифровывают старые DVD. И именно оно пало жертвой злоумышленников в начале мая.

Как сообщили разработчики Handbrake, 2 мая 2017 года пока неизвестный человек или группа людей подменили установочный образ диска приложения на одном из «зеркал». В нем, помимо самого приложения, также находилась новая вариация трояна OSX.PROTON. В момент первого запуска Handbrake как будто спрашивает у вас разрешения на установку дополнительных кодеков, но на самом деле пытается установить в систему тот самый «протон».

После успешного внедрения троян начинает собирать с машины пользователя едва ли не всю полезную для себя информацию. В папке ~/Library/VideoFrameworks появятся скрытые архивы:

  • KC.zip — копия данных из Связки ключей (тут хранятся все сохраненные вами пароли).
  • CR.zip — данные по профилю пользователя в браузере Chrome, история, кэш.
  • CR_def.zip — стандартный набор данных браузера Chrome.
  • FF.zip — все то же самое, но для браузера Firefox.
  • SF.zip — файлы cookies и история Safari.
  • OP.zip — данные по пользователю в браузере Opera.
  • proton.zip — содержит все вышеуказанные архивы.

В дальнейшем эти архивы, скорее всего, будут заливаться на удаленный сервер для передачи злоумышленнику. А так как помимо прочего утекают данные связки ключей, то последствия могут быть для пользователя крайне печальными.

Если вы имели неосторожность загрузить Handbrake к себе на машину в период со 2 по 6 мая, то гляньте в утилите Мониторинг системы наличие процесса «activity_agent». Если оно там есть, то джек-пот ваш.

Для удаления трояна запустите Терминал и выполните в нем три команды:

Добавить комментарий

Пролистать наверх
%d такие блоггеры, как: