感染したMacのユーザーデータを盗み出すトロイの木馬「Proton」を同梱したHandBrakeは一時Homebrew Caskにも影響。

セキュリティ

2017.05.09

記事内に広告が含まれています。

　感染したMacのユーザーデータを盗み出すトロイの木馬「Proton」を同梱したHandBrakeはHomebrew Caskにも影響しているそうです。詳細は以下から。

　2017年5月上旬からトランスコーダHandBrakeのサーバーがハッキングされ、リモートアクセス型トロイの木馬(RAT)「Proton」が同梱された「HandBrake for Mac」が公開されたことが明らかになりましたが、検体を特定&解析していた米Malwarebytesによると、このRATに感染したHandBrakeはHomebrew Caskにも影響していたそうです。

#HandBrake app has been #hacked & is installing a new variant of the Proton #malware | Malwarebytes https://t.co/mzSiCxSCSe by @thomasareed pic.twitter.com/t7xv4wxUNz

— Malwarebytes (@Malwarebytes) 2017年5月8日

The real HandBrake 1.0.7 app was replaced with a malicious copy on May 2. This issue was discovered and the malicious app was removed on May 6, also a security warning was posted on the HandBrake website. Both the HandBrake website and the copy of HandBrake available via Homebrew (a command-line software installation system) were affected.

HandBrake hacked to drop new variant of Proton malware – Malwarebytes Labs

Protonの挙動

　米MalwarebytesのThomas ReedやCybereasonのAmit Serperさんらによると、Protonを同梱したHandBrakeは起動時に通常では求めない管理者パスワードを要求し、この時点でキャンセルされればProtonはインストールされませんが、

This is not normal for HandBrake, which may tip off a veteran user of the software. However, for a new user, or someone installing an update who isn’t yet familiar with the behavior of that update, this may not raise any red flags.

HandBrake hacked to drop new variant of Proton malware – Malwarebytes Labs

パスワードを入力するとroot権限でキーチェーンやブラウザの履歴、1Passwordのデータなどを収拾し、今年4月29日に取得されたhandbrake[DOT]bizというC&Cサーバーとの通信を待ち、データを送るそうで、

HandBrakeに同梱されたトロイの木馬「OSX.Proton.B」はキーチェーンや1Passwordのデータも収集しているもよう。

...

HandBrakeは元々Appleが発行した開発者証明書で署名されていない、いわゆる﹁野良アプリ﹂のためAppleがSierraでGatekeeperの機能を強化し、署名されていないアプリを起動できなくしても、このアプリを必要とするユーザーはユーザー自身でGatekeeperを迂回して起動しようとするため、悪意のある攻撃者に狙われたという推測もあるようです。

Homebrew Caskにも影響

　また、HandBrakeはHomebrew Caskでもインストール可能ですが、一時Protonを同梱したHandBrakeがコミット[1, 2, 3]され、公開されていたようです。

 cask 'handbrake' do
   version '1.0.7'
-  sha256 '3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2'
+  sha256 '013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793'
 
   url "https://download.handbrake.fr/handbrake/releases/#{version}/HandBrake-#{version}.dmg"
   appcast 'https://github.com/HandBrake/HandBrake/releases.atom',

Transmissionと酷似?

　今回の事件は2016年に起きたMacのKeychain情報を盗み出すマルウェア﹁OSX/Keydnap﹂を同梱したBitTorrentクライアント﹁Transmission﹂の事件と酷似し、両アプリは同じ開発者Eric Petitさんがオリジナルを作成していることから疑問に思われているユーザーの方も多いようですが、

HandBrakeとTransmissionは関係していないというHandBrakeの声明

The HandBrake Team is independent of the Tranmission Developers. The projects share history in the sense that the same author created these apps but he is not part of the current HandBrake team of developers. We do not share our virtual machines with the Transmission project. Mirror Download Server Compromised – HandBrake HandBrakeチームは現地時間05月07日にフォーラムをアップデートし、HandBrakeは既にTransmissionの開発者と独立しているという声明を出しています。

感染のチェック

　Appleは既にXProtectをv2091へアップデートしProtonの起動を抑制していますが、Malwarebytesはマルウェア検出アプリ﹁Malwarebytes for Mac(関連記事)﹂のデータベースをアップデートしProtonを﹁OSX.Proton﹂として検出、関連ファイルを削除できるようにしており、SymantecやTrend Micro, Integoなどのウィルス対策アプリもProtonに対応してきているので、気になる方はチェックしてみてください。