Hackeři se dostali na mirror server a šířili přes něj napadenou aplikaci

Pokud jste nedávno na Mac stáhli oblíbenou open source aplikaci HandBrake, tak je možném, že jste si s ním stáhli i Remote Access Trojan (RAT). HandBrake je bezplatný open source sofware na převod digitálních video souborů, který usnadňuje kopírování filmu z DVD. V roce 2003 jej vytvořil Eric Petit. Od té doby prošel mnoha změnami.

Vývojáři HandBrake v sobotu varovali uživatele Maců, že jeden z mirror serverů (download.handbrake.fr), přes který si stahovali poslední verzi HandBrake byl napaden hackery. Zdali se jednalo o práci jednoho anebo skupiny hackerů se neví. V každém případě se jim podařilo dostat na mirror server a nahradit originální verzi napadenou. Jednalo se o HandBrake-1.0.7.dmg. Útočníci do aplikace vložili trojský kůn Proton.

Proton je byl objeven v únoru na ruském hackerském fóru. Jedná se o trojský kůň určený pro Mac, který má útočníkovi umožnit vzdálený přístup do operačního systému s oprávněním root.

Ačkoliv byl mirror server okamžitě po zjištění vypnutý, tak podle vývojářů HandBrake může být ohrožen každý kdo si z něj stáhl HandBrake-1.0.7.dmg od 2. do 6. května 2017. Údajně jsou šance 50:50, že v počítači máte tento nový virus.

Jak poznáte, že váš Mac je napaden

Spusťte OSX Activity Monitor a hledejte proces s názvem Activity_agent. Pokud jej najdete, tak máte v počítači trojský kůň.

Dále pokud ještě máte stažený soubor, zkuste ještě hash. Napadený HandBrake-1.0.7.dmg má následující hash:

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Jak odstranit Proton RAT

Následující instrukce jsou přímo od vývojářů HandBrake.

  1. Spusťte Terminal
  2. Zadejte následující příkazy:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app

3. Pokud adresář ~/Library/VideoFrameworks/ obsahuje soubor proton.zip, tak jej odstraňte. ,

Následně byste měli odstranit všechny uložené soubory s aplikací Handbrake.app.

Teď ještě musíte změnit všechna hesla, která byla uložena v OS X KeyChain a v internetovém prohlížeči.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *