Mac-malware spredt som open source-videoværktøj

En ny variant af OSX.PROTON-malwaren er blevet spredt via et download-mirror for HandBrake-videotranscoderen.

Hvis du har hentet og installeret open source-værktøjet til videotranscoding HandBrake i perioden 2. - 6. maj til MacOS, så har du måske fået malware på dit system. Det fremgår af en besked på handbrake.fr særligt henvendt til Mac-brugere.

Malwaren er distribueret ved at kompromittere et download-mirror for video-softwaren, så filen HandBrake-1.0.7.dmg i stedet er blevet erstattet med skadelig software.

Hvis der kører en proces på systemet, der hedder Activity_agent, så er man inficeret, fremgår det af beskeden hos HandBrake. Og hvis filen, man har installeret, har en følgende checksum'er, ja, så er det malware, man har installeret.

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Ifølge beskeden hos HandBrake er der fifty-fifty risiko for at have fået malwaren, hvis man som Mac-bruger har downloadet HandBrake i perioden. Malwaren, der skulle være en ny variant af OSX.PROTON, kan fjernes ved at køre følgende kommandoer i en terminal:

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app
if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Falsk autentifikations-popup

Sikkerhedsbloggeren Patrick Wardle, der laver sikkerhedsprogrammer til MacOS, har kigget nærmere på, hvad malwaren foretager sig.

Programmet starter med at lave en falsk autentifikations-popup, som lokker brugeren til at indtaste sine login-oplysninger. Hvis det lykkes, bruger programmet oplysningerne til at installere sig selv som en persistent proces 'activity_agent.app'.

Wardle gengiver en beskrivelse af en tidligere udgave af OSX.PROTON, som skulle gøre angriberen i stand til at gøre stort set hvad som helst med en inficeret maskine. Det vil eksempelvis sige at eksekvere bash-kommandoer som root, logge keyboard-input og tage screenshots.

Den nye variant af OSX.PROTON indeholder ikke helt den funktionalitet, der var i den tidligere udgave, oplyser Wardle. Eksempelvis skulle muligheden for at tage screenshots ikke være til stede.

Apple skulle have opdateret beskyttelsessoftwaren XProtect til at detektere den nye variant af OSX.PROTON. Ifølge Wardle foregår det udelukkende ved at se på et SHA-1-hash af den skadelige software. Det betyder, har Wardle fundet ud af, at hvis der bliver ændret en enkelt bit i den binære fil, så detekterer XProtect ikke længere malwaren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere