Mac-malware spredt som open source-videoværktøj

8. maj 2017 kl. 15:13
En ny variant af OSX.PROTON-malwaren er blevet spredt via et download-mirror for HandBrake-videotranscoderen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hvis du har hentet og installeret open source-værktøjet til videotranscoding HandBrake i perioden 2. - 6. maj til MacOS, så har du måske fået malware på dit system. Det fremgår af en besked på handbrake.fr særligt henvendt til Mac-brugere.

Malwaren er distribueret ved at kompromittere et download-mirror for video-softwaren, så filen HandBrake-1.0.7.dmg i stedet er blevet erstattet med skadelig software.

Hvis der kører en proces på systemet, der hedder Activity_agent, så er man inficeret, fremgår det af beskeden hos HandBrake. Og hvis filen, man har installeret, har en følgende checksum'er, ja, så er det malware, man har installeret.

  1. SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
  2. SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Ifølge beskeden hos HandBrake er der fifty-fifty risiko for at have fået malwaren, hvis man som Mac-bruger har downloadet HandBrake i perioden. Malwaren, der skulle være en ny variant af OSX.PROTON, kan fjernes ved at køre følgende kommandoer i en terminal:

  1. launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  2. rm -rf ~/Library/RenderFiles/activity_agent.app
  3. if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Falsk autentifikations-popup

Sikkerhedsbloggeren Patrick Wardle, der laver sikkerhedsprogrammer til MacOS, har kigget nærmere på, hvad malwaren foretager sig.

Artiklen fortsætter efter annoncen

Programmet starter med at lave en falsk autentifikations-popup, som lokker brugeren til at indtaste sine login-oplysninger. Hvis det lykkes, bruger programmet oplysningerne til at installere sig selv som en persistent proces 'activity_agent.app'.

Wardle gengiver en beskrivelse af en tidligere udgave af OSX.PROTON, som skulle gøre angriberen i stand til at gøre stort set hvad som helst med en inficeret maskine. Det vil eksempelvis sige at eksekvere bash-kommandoer som root, logge keyboard-input og tage screenshots.

Den nye variant af OSX.PROTON indeholder ikke helt den funktionalitet, der var i den tidligere udgave, oplyser Wardle. Eksempelvis skulle muligheden for at tage screenshots ikke være til stede.

Apple skulle have opdateret beskyttelsessoftwaren XProtect til at detektere den nye variant af OSX.PROTON. Ifølge Wardle foregår det udelukkende ved at se på et SHA-1-hash af den skadelige software. Det betyder, har Wardle fundet ud af, at hvis der bliver ændret en enkelt bit i den binære fil, så detekterer XProtect ikke længere malwaren.

Ingen kommentarer endnu.  Start debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger