HandBrake per Mac usato per veicolare il malware Proton

HandBrake per Mac usato per veicolare il malware Proton

L'installer della versione 1.0.7 di HandBrake per Mac è stato compromesso allo scopo di installare la backdoor Proton. Chi ha scaricato il software tra il 2 e il 6 maggio ha una probabilità su due di essere stato infettato

di Andrea Bai pubblicata il , alle 11:07 nel canale Sicurezza
Apple
 

Il popolarissimo software di video encoding HandBrake per Mac è stato trasformato nei giorni scorsi in un vettore per la diffusione di un malware capace di sottrarre le password del portachiavi e la master password che può decifrare le password crittografate. Sono gli stessi sviluppatori di HandBrake a darne notizia.

Nell'arco di quattro giorni, dal 2 al 6 maggio, un mirror per il download di HandBrake situato in download.handbrake.fr, ha distribuito una versione del software contenente una backdoor conosciuta come Proton. Si tratta di un malware per Mac sviluppato a livello professionale, che viene venduto a 63 mila dollari sul "lato oscuro" del web e mette a disposizione un'ampia gamma di funzionalità malevole come keylogging, accesso remoto, capacità di catturare video e foto dalla webcam e screenshot del monitor, così come la possibilità di sottrarre file. Una prima versione di Proton fu distribuita con una firma valida che Apple usa per certificare i software di terze parti, con gli sviluppatori della Mela che hanno dovuto aggiornare macOS affinché la riconoscesse automaticamente, impedendone l'installazione.

Gli sviluppatori di HandBrake hanno sottolineato che dei due server usati per distribuire l'app solamente uno è stato compromesso, il che significa che coloro i quali hanno scaricato HandBrake 1.0.7 nel periodo dal 2 al 6 maggio hanno una probabilità del 50% di aver ricevuto la versione contenete il malware. Nel momento in cui viene avviato l'installer compromesso, all'utente viene richiesto di inserire la password di amminsitrazione, che veniva immediatamente caricata in testo semplice su un server controllato dagli attaccanti. Il malware, una volta installato, invia vari file al server contenenti le password che è possibile rintracciare sul sistema infetto.

Vi sono due modi semplici per verificare se il sistema sia stato infettato da Proton: il primo è la presenza di un processo chiamato activity_agent in Monitoraggio Attività, il secondo è la presenza di un file chiamato proton.zip nella cartella ~/Library/VideoFrameworks. Una terza procedura, leggermente più complessa, può essere il controllo del checksum SHA1 del file di installazione digitando "shasum nome_cartella/HandBrake-1.0.7.dmg" sostituendo a nome_cartella la cartella in cui si trova il file di installazione. Se il risultato mostrato è 0935a43ca90c6c419a49e4f8f1d75e68cd70b274, allora si tratta del file compromesso.

Nel caso si riscontrasse la presenza del malware, è opportuno correre immediatamente ai ripari: prima cosa da fare è sbarazzarsi dell'installer compromesso e per maggior sicurezza eliminare anche HandBrake sostituendolo con una nuova versione "sana". In secondo luogo bisogna rimuovere i file fr.handbrake.activity_agent.plist e activity_agent.app nella cartella ~/Library/RenderFiles e riavviare la macchina. Una volta fatto ciò il sistema è ripulito, e a questo punto è imperativo cambiare tutte le password.

HandBrake non è la prima app per Mac compromessa allo scopo di installare malware sulle macchine di utenti ignari: lo scorso anno l'applicazione Transmission, un client BitTorrent, era stata sfruttata in una maniera simile per distribuire una delle prime incarnazioni di ransomware dedicato ai sistemi Mac, conosciuto con il nome di Keydnap. E tra le due app c'è una piccola ma significativa attinenza: entrambi i programmi sono stati sviluppati originariamente da Eric Petit. Probabilmente è solo una semplice coincidenza, ma sicuramente piuttosto curiosa.

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
insane7409 Maggio 2017, 13:16 #1
L'altro giorno ho installato Filezilla Client (preso dal sito ufficiale) e BitDefender (per Mac) mi ha "ripulito" l'installer perché aveva rilevato un malware (non sono davanti al Mac quindi non ricordo i dettagli)...
Klontz09 Maggio 2017, 21:13 #2
questo tipo di problemi potrebbero risolverli alla radice, se tutte le app macOS venissero distribuite esclusivamente dall' AppStore.
Apple dovrebbe rivedere la sua politica economica, magari scontare notevolmente o dare gratuitamente il servizio a tutti quei sviluppatori che danno gratuitamente le proprie applicazione, vedi proprio il caso di Handbrake e Transmission.
Ne guadagnerebbe Apple in termini di sicurezza ed immagine, i clienti e gli stessi sviluppatori.
floc10 Maggio 2017, 01:14 #3
Originariamente inviato da: insane74
L'altro giorno ho installato Filezilla Client (preso dal sito ufficiale) e BitDefender (per Mac) mi ha "ripulito" l'installer perché aveva rilevato un malware (non sono davanti al Mac quindi non ricordo i dettagli)...


ti ha ripulito qualche donationware/barra degli strumenti agganciato all'installer, succede anche con altri programmi tipo pdf creator, vede pezzi dell'installer come malevoli (di fatto lo sono, ma basta leggere durante la procedura e non installarli)
insane7410 Maggio 2017, 07:52 #4
Originariamente inviato da: floc
ti ha ripulito qualche donationware/barra degli strumenti agganciato all'installer, succede anche con altri programmi tipo pdf creator, vede pezzi dell'installer come malevoli (di fatto lo sono, ma basta leggere durante la procedura e non installarli)


Boh, in realtà quando poi è partito l'installer la domanda per installare la "fuffa" me l'ha fatta (e ovviamente ho declinato). Non so se rispondendo di si avrebbe fatto qualcosa o meno.
Devo ricordarmi di controllare il log per vedere se capisco cosa ha trovato/ripulito, ma lo uso così poco il mio vecchio "mini"...
thegman10 Maggio 2017, 10:08 #5
Originariamente inviato da: insane74
Boh, in realtà quando poi è partito l'installer la domanda per installare la "fuffa" me l'ha fatta (e ovviamente ho declinato). Non so se rispondendo di si avrebbe fatto qualcosa o meno.
Devo ricordarmi di controllare il log per vedere se capisco cosa ha trovato/ripulito, ma lo uso così poco il mio vecchio "mini"...


Ho sperimentato lo stesso problema mesi fa, l'installer presente su questa pagina:
https://filezilla-project.org/download.php?show_all=1
Non contiene software aggiuntivo (non bundled)
FileZilla_3.25.2_macosx-x86_setup_bundled.zip vs. FileZilla_3.25.2_macosx-x86.app.tar.bz2
superlex10 Maggio 2017, 19:14 #6
Originariamente inviato da: thegman
Ho sperimentato lo stesso problema mesi fa, l'installer presente su questa pagina:
https://filezilla-project.org/download.php?show_all=1
Non contiene software aggiuntivo (non bundled)
FileZilla_3.25.2_macosx-x86_setup_bundled.zip vs. FileZilla_3.25.2_macosx-x86.app.tar.bz2


Vero, scaricandolo da sourceforge pare pulito.
Basta caricarlo su virustotal, al momento 23/55 lo riconoscono come infetto.

Originariamente inviato da: Klontz
questo tipo di problemi potrebbero risolverli alla radice, se tutte le app macOS venissero distribuite esclusivamente dall' AppStore.
Apple dovrebbe rivedere la sua politica economica, magari scontare notevolmente o dare gratuitamente il servizio a tutti quei sviluppatori che danno gratuitamente le proprie applicazione, vedi proprio il caso di Handbrake e Transmission.
Ne guadagnerebbe Apple in termini di sicurezza ed immagine, i clienti e gli stessi sviluppatori.

Le politiche dell'App Store però sono troppo restrittive, vedi per es. Firefox per iOS che ha dovuto cambiare motore.

Un modo carino sarebbe automatizzare la verifica tramite chiave gpg al momento dell'installazione, cosa che al momento andrebbe invece fatta a mano per verificare che il software non sia stato alterato (la verifica tramite md5 e simili non è sufficiente per tale scopo).
thegman10 Maggio 2017, 19:52 #7
Originariamente inviato da: superlex
Vero, scaricandolo da sourceforge pare pulito.
Basta caricarlo su virustotal, al momento 23/55 lo riconoscono come infetto.


Le politiche dell'App Store però sono troppo restrittive, vedi per es. Firefox per iOS che ha dovuto cambiare motore.

Un modo carino sarebbe automatizzare la verifica tramite chiave gpg al momento dell'installazione, cosa che al momento andrebbe invece fatta a mano per verificare che il software non sia stato alterato (la verifica tramite md5 e simili non è sufficiente per tale scopo).


E' anche possibile cercare direttamente una correlazione tramite hash nella sezione "Search" del sito, particolarmente utile nel caso di analisi di file di (relativamente) grosse dimensioni, unica pecca: se il file non risulta gia' presente nel database ovviamente non si otterranno risultati e si sara' costretti a caricarlo.

Pura curiosita', perche' secondo te un metodo di verifica basato su hash non risulterebbe sufficiente? Per caso ti riferisci al recente problema sollevato da SHAttered? (https://shattered.io)
superlex11 Maggio 2017, 01:32 #8
Originariamente inviato da: thegman
E' anche possibile cercare direttamente una correlazione tramite hash nella sezione "Search" del sito, particolarmente utile nel caso di analisi di file di (relativamente) grosse dimensioni, unica pecca: se il file non risulta gia' presente nel database ovviamente non si otterranno risultati e si sara' costretti a caricarlo.

Molto utile, peccato però che i file non possano essere troppo grandi..

Pura curiosita', perche' secondo te un metodo di verifica basato su hash non risulterebbe sufficiente? Per caso ti riferisci al recente problema sollevato da SHAttered? (https://shattered.io)

No, quello è un extra Il fatto è che se compromettono il server possono tranquillamente cambiare l'hash, pertanto sono funzionali solo a capire se il file è stato scaricato correttamente. In teoria dovrebbero bastare le firme sviluppatore usate da Apple, ma in pratica si stanno rivelando inefficaci.
thegman11 Maggio 2017, 17:47 #9
Originariamente inviato da: superlex
Molto utile, peccato però che i file non possano essere troppo grandi..


No, quello è un extra Il fatto è che se compromettono il server possono tranquillamente cambiare l'hash, pertanto sono funzionali solo a capire se il file è stato scaricato correttamente. In teoria dovrebbero bastare le firme sviluppatore usate da Apple, ma in pratica si stanno rivelando inefficaci.


Capito, grazie della delucidazione

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^