オープンソースのビデオトランスコーダーアプリHandbrakeの開発者は、 セキュリティ警告 ソフトウェアをホストしているミラーダウンロードサーバーがハッキングされた後、Macユーザーに。
アラートは、ミラーサーバーdownload.handbrake.fr上の元のHandBrake-1.0.7.dmgインストーラーファイルが悪意のあるファイルに置き換えられたことが発見された後、土曜日に発行されました。
影響を受けるサーバーは調査のためにシャットダウンされましたが、開発者は、5月2日14:30UTCから5月6日11:00UTCの間にサーバーからソフトウェアをダウンロードしたユーザーがシステムに感染する可能性が50/50であると警告しています。トロイの木馬。 「OSXアクティビティモニターアプリケーションに「Activity_agent」というプロセスが表示された場合は、感染しています」とアラートを読みます。
感染したコンピューターからマルウェアを削除するには、ユーザーはターミナルアプリケーションを開き、次のコマンドを実行する必要があります。
- launchctl undo〜 / Library / LaunchAgents / fr.handbrake.activity_agent.plist
- rm -rf〜 / Library / RenderFiles / activity_agent.app
- 〜/ Library / VideoFrameworks /にproton.zipが含まれている場合は、フォルダーを削除します
次に、ユーザーは自分のシステムにあるHandbrake.appのインストールをすべて削除する必要があります。追加のセキュリティ推奨事項として、ユーザーはOSXKeyChainまたはブラウザのパスワードストアにある可能性のあるすべてのパスワードも変更する必要があります。
問題のマルウェアは、攻撃者にルートアクセス権限を与えるMacベースのリモートアクセストロイの木馬であるOSX.PROTONの新しい亜種です。 Appleは2月にmacOSセキュリティソフトウェアXProtectを更新して、元のProtonマルウェアから防御しました。 Appleは土曜日にXProtect定義を更新するプロセスを開始し、更新はすでにサイレントかつ自動的にマシンに展開されているはずです。
Handbrakeユーザーは、プライマリダウンロードミラーとHandbrakeWebサイトがハッキングの影響を受けなかったことに注意する必要があります。 1.0以降のアプリケーションの組み込みアップデーターを介したダウンロードも影響を受けません。これらはDSA署名によって検証され、合格しないとインストールされないためです。ただし、Handbrake 0.10.5以前を使用していて、アプリケーションの組み込みアップデーターを使用しているユーザーは、システムを確認する必要があります。これらのバージョンには検証機能がないためです。
参考までに、次のチェックサムを持つHandBrake.dmgファイルが感染しています。
SHA1:0935a43ca90c6c419a49e4f8f1d75e68cd70b274 / SHA256:013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
(ありがとう、アルフォンソ!)
タグ:セキュリティ、マルウェア
人気の投稿