视频转换工具Handbrake的一个下载镜像服务器最近遭攻陷且被配置为Mac计算机传播一个远程管理木马。
Handbrake在网站上发布安全警告称,从上周二至周六期间Mac用户可能下载了其app的木马版本。Handbrake指出,虽然并非所有的用户均受影响,但用户都应该在运行前验证下载版本是否有问题。
Handbrake指出其主要的下载镜像和网站并未受影响。只有download.handbrake.fr网站上的下载镜像被攻陷,不过公司已将该网站关闭开展调查。另外,Handbrake表示正在重构下载镜像服务器,这可能会影响旧版本的性能和可用性。
通过Handbrake app的内置更新器1.0及之后版本进行的下载并未受影响,通过app的内置更新器0.10.5及更早版本的下载并未由DSA签名验证,因此用户应该查看系统是否存在恶意版本。Handbrake还详细说明了用户在遇到感染情况后应该采取的系统清理步骤。公司还指出受影响用户还应该“更改所有可能存在于OSX KeyChain的密码或任何锁存储的浏览器密码。”用户要查看是否受影响,可在OSX活动监控app中查看名为 ”Activity_agent” 的进程。如存在这个进程,则说明受到恶意软件感染。
攻击者设法攻陷了这个下载镜像,用OSX.Proton RAT替代了服务器上的合法Handbrake文件。这个RAT是在一个封闭的俄罗斯网络犯罪信息板上发现的,每次安装需要2个比特币(折合2500美元)。当时这款恶意软件被广告为“一款专业的FUD监控和控制解决方案”,包括根访问权限和功能。这个RAT据悉会为运营者提供完全控制受感染机器的权限并能让他们监控按键、截取屏幕截图并执行代码。
VirusTotal对Proton的检测率很低,不过苹果公司已发布了一个XProtect签名帮助用户免受攻击之害。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。