感染したMacのユーザーデータを盗み出すトロイの木馬「Proton」を同梱したHandBrakeはHomebrew Caskにも影響しているそうです。詳細は以下から。
2017年5月上旬からトランスコーダHandBrakeのサーバーがハッキングされ、リモートアクセス型トロイの木馬(RAT)「Proton」が同梱された「HandBrake for Mac」が公開されたことが明らかになりましたが、検体を特定&解析していた米Malwarebytesによると、このRATに感染したHandBrakeはHomebrew Caskにも影響していたそうです。
#HandBrake app has been #hacked & is installing a new variant of the Proton #malware | Malwarebytes https://t.co/mzSiCxSCSe by @thomasareed pic.twitter.com/t7xv4wxUNz
— Malwarebytes (@Malwarebytes) 2017年5月8日
The real HandBrake 1.0.7 app was replaced with a malicious copy on May 2. This issue was discovered and the malicious app was removed on May 6, also a security warning was posted on the HandBrake website. Both the HandBrake website and the copy of HandBrake available via Homebrew (a command-line software installation system) were affected.
HandBrake hacked to drop new variant of Proton malware – Malwarebytes Labs
Protonの挙動
米MalwarebytesのThomas ReedやCybereasonのAmit Serperさんらによると、Protonを同梱したHandBrakeは起動時に通常では求めない管理者パスワードを要求し、この時点でキャンセルされればProtonはインストールされませんが、
This is not normal for HandBrake, which may tip off a veteran user of the software. However, for a new user, or someone installing an update who isn’t yet familiar with the behavior of that update, this may not raise any red flags.
HandBrake hacked to drop new variant of Proton malware – Malwarebytes Labs
パスワードを入力するとroot権限でキーチェーンやブラウザの履歴、1Passwordのデータなどを収拾し、今年4月29日に取得されたhandbrake[DOT]bizというC&Cサーバーとの通信を待ち、データを送るそうで、
![HandBrakeアプリが署名されていないという警告ダイアログ](https://applech2.com/wp-content/uploads/2017/05/Handbrake-no-apple-code-signed.jpg)
Homebrew Caskにも影響
また、HandBrakeはHomebrew Caskでもインストール可能ですが、一時Protonを同梱したHandBrakeがコミット[1, 2, 3]され、公開されていたようです。![Protonを同梱したHomeBrew Caskのコミット](https://applech2.com/wp-content/uploads/2017/05/HandBrake-include-Proton-with-Homebrew-Cask.jpg)
cask 'handbrake' do version '1.0.7' - sha256 '3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2' + sha256 '013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793' url "https://download.handbrake.fr/handbrake/releases/#{version}/HandBrake-#{version}.dmg" appcast 'https://github.com/HandBrake/HandBrake/releases.atom',
Transmissionと酷似?
今回の事件は2016年に起きたMacのKeychain情報を盗み出すマルウェア﹁OSX/Keydnap﹂を同梱したBitTorrentクライアント﹁Transmission﹂の事件と酷似し、両アプリは同じ開発者Eric Petitさんがオリジナルを作成していることから疑問に思われているユーザーの方も多いようですが、![HandBrakeとTransmissionは関係していないというHandBrakeの声明](https://applech2.com/wp-content/uploads/2017/05/HandBrake-and-Transmission-developer.jpg)
感染のチェック
Appleは既にXProtectをv2091へアップデートしProtonの起動を抑制していますが、Malwarebytesはマルウェア検出アプリ﹁Malwarebytes for Mac(関連記事)﹂のデータベースをアップデートしProtonを﹁OSX.Proton﹂として検出、関連ファイルを削除できるようにしており、SymantecやTrend Micro, Integoなどのウィルス対策アプリもProtonに対応してきているので、気になる方はチェックしてみてください。![Malwarebytes for MacがProtonの検出に対応](https://applech2.com/wp-content/uploads/2017/05/Malwarebytes-for-Mac-detect-OSX-Proton.jpg)
- Mirror Download Server Compromised – HandBrake
- HandBrake hacked to drop new variant of Proton malware – Malwarebytes Labs
コメント