MKD-CIRT National Centre for Computer Incident Response
„Огледалната“ веб-страница за преземање на популарната алатка за транскодирање на видео датотеки HandBrake била компромитирана од страна на напаѓачи, кои ја замениле верзијата на апликацијата за Mac (OSx) со малвер.
Корисниците кои ја инсталирале апликацијата HandBrake за Mac (OSx) во периодот од 2 мај до 6 мај 2017 година задолжително треба да проверат дали нивниот систем е инфициран. Инсталациите за Windows не биле компромитирани.
Ако во апликацијата „OSX Activity Monitor“ корисникот гледа процес со име „Activity_agent“, тогаш системот е инфициран со тројанец за далечински пристап, нова верзија од OSX.PROTON.
Инфицираната апликација ги содржи хешовите:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Тимот од HandBrake ги дава следните упатства за отстранување на злонамерниот софтвер:
Корисникот треба да ја отвори апликацијата “Terminal” и да ги изврши следните команди:
• launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
• rm -rf ~/Library/RenderFiles/activity_agent.app
• ако ~/Library/VideoFrameworks/ содржи proton.zip, да се отстрани папката
Потоа, корисникот треба да ги побара и отстрани сите инсталации на апликацијата HandBrake од неговиот уред.
Исто така, корисникот кој ја презел инфицираната верзија на HandBrake, задолжително треба да ги промени сите лозинки во KeyChain (системот за управување со лозинки вграден во macOS) и сите лозинки кои се зачувани во веб-прелистувачите.
извор: theregister.co.uk