Handbrake開発者、ミラーダウンロードサーバーのハッキング後にMacセキュリティ警告を発行
この警告は、ミラー サーバー download.handbrake.fr 上の元の HandBrake-1.0.7.dmg インストーラー ファイルが悪意のあるファイルに置き換えられていたことが判明したことを受けて、土曜日に発行されました。
影響を受けたサーバーは調査のためにシャットダウンされていますが、開発者は、5月2日14:30 UTCから5月6日11:00 UTCまでの間にサーバーからソフトウェアをダウンロードしたユーザーは、システムがウイルスに感染する可能性が50/50であると警告しています。トロイの木馬。 「OS X アクティビティ モニター アプリケーションに ‘Activity_agent’ というプロセスが表示された場合は、感染しています。」という警告文が表示されます。
感染したコンピュータからマルウェアを削除するには、ユーザーはターミナル アプリケーションを開いて次のコマンドを実行する必要があります。
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/ライブラリ/RenderFiles/activity_agent.app
- ~/Library/VideoFrameworks/ に proton.zip が含まれている場合は、フォルダーを削除します
その後、ユーザーはシステムにインストールされている Handbrake.app をすべて削除する必要があります。追加のセキュリティ推奨事項として、ユーザーは、OSX キーチェーンまたはブラウザのパスワード ストアに存在する可能性のあるすべてのパスワードも変更する必要があります。
問題のマルウェアは、攻撃者に root アクセス権限を与える Mac ベースのリモート アクセス トロイの木馬である OSX.PROTON の新しい亜種です。 Apple は 2 月に、元の Proton マルウェアから防御するために macOS セキュリティ ソフトウェア XProtect をアップデートしました。 Apple は土曜日に XProtect 定義を更新するプロセスを開始しており、更新はすでにマシンにサイレントかつ自動的に展開されているはずです。
Handbrake ユーザーは、プライマリ ダウンロード ミラーと Handbrake Web サイトがハッキングの影響を受けていないことに注意してください。 1.0 以降のアプリケーションの組み込みアップデータによるダウンロードも影響を受けません。これらは DSA 署名によって検証され、合格しない場合はインストールされないためです。ただし、Handbrake 0.10.5 以前を使用し、アプリケーションの組み込みアップデータを使用しているユーザーは、これらのバージョンには検証機能がないため、システムをチェックする必要があります。
参考までに、次のチェックサムを持つ HandBrake.dmg ファイルは感染しています。
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 / SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
(ありがとう、アルフォンソ!)
