/ Security / Video Transcodierer: Handbrake-Mirror verteilt vier Tage lang Malware

Video Transcodierer: Handbrake-Mirror verteilt vier Tage lang Malware

125253-132403-i_rc.jpg
Moritz Rosenfeld on May 7, 2017 - 1:22 pm in Security

Wer zwischen dem 2. und dem 6. Mai dieses Jahres eine Kopie des beliebten Open-Source-Programms Handbrake für Mac heruntergeladen hat, sollte unbedingt den Hashwert der Datei überprüfen. Es bestehe “eine 50:50-Chance”, dass die Datei eine Variante des Mac-Trojaners Osx.Proton enthalte, schreiben die Macher.

Die Datei Handbare-1.0.7.dmg wurden den Angaben zufolge auf dem betroffenen Mirror download.handbrake.fr mit einer infizierten Version ausgetauscht. Der Mirror wurde erst einmal vom Netz genommen. Wie es zu der Infektion kam, ist unklar. Downloads der aktuellen Version über den in die App integrierten Installer sind nicht betroffen, wenn die Version 1.0 verwendet wurde. Frühere Versionen des Installers vor 0.10.5 nehmen hingegen noch keine Signaturprüfung vor und sollten daher überprüft werden.

Installiert ein Nutzer die infizierte App, wird er nach dem Prozess mit einem Eingabeprompt konfrontiert, in den Passwort und Nutzername eingegeben werden sollen, da “Handbrake weitere Codec installieren” müsse. Tatsächlich versucht der Trojaner so, seine eigenen Rechte auszuweiten.

Hashwerte sollten überprüft werden

Die Hashes der infizierten Versionen sind nach Angaben der Handbrake-Entwickler SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 sowie SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793. Wer eine Datei mit diesem Hashwert heruntergeladen und ausgeführt hat, sollte diese sofort entfernen, Handbrake hat dazu eine Anleitung veröffentlicht.

Wer eine aktive Infektion feststellt, sollte alle Passwörter in der Keychain des Betriebssystems ändern, empfehlen die Handbrake-Macher. Tatsächlich ist der Trojaner in der Lage, Passwörter per Keylogger mitzuschneiden. Außerdem sollen Bash-Befehle als Root ausgeführt werden können. Apple wurde über die neuen Signaturen von OscProton informiert und hat diese bereits in XProtect integriert. Der Trojaner wird in Darkweb-Foren zum Preis von ursprünglich 100, später 40 Bitcoin zum Kauf angeboten. Der Trojaner war im März erstmals aufgetaucht.

Read more on: Source

Comments are disabled