2017年5月上旬からトランスコーダHandBrakeのサーバーがハッキングされ、トロイの木馬が同梱された「HandBrake for Mac」が公開されていたとして開発チームが注意を呼びかけています。詳細は以下から。
オープンソース&クロスプラットフォーム対応の動画トランスコーダアプリ「HandBrake(関連記事)」シリーズを開発しているフランスのThe HandBrake Teamは現地時間2017年05月06日、Mac版HandBrakeを公開しているミラーサーバーがハッキングの被害に遭い、トロイの木馬が同梱された「HandBrake for Mac v1.0.7」が5月上旬より公開されていたとしてユーザーに以下のことを確認するように呼びかけています。
SECURITY WARNING
Anyone who has downloaded HandBrake on Mac between [02/May/2017 14:30 UTC] and [06/May/2017 11:00 UTC] needs to verify the SHA1 / 256 sum of the file before running it.
Anyone who has installed HandBrake for Mac needs to verify their system is not infected with a Trojan. You have 50/50 chance if you’ve downloaded HandBrake during this period.Mirror Download Server Compromised – HandBrake
トロイの木馬の特定方法
HandBrakeチームは既にこのトロイの木馬を特定しているそうで、Macの[アプリケーション]フォルダ → [ユーティリティ]フォルダに在るアクティビティモニタアプリを起動し、”Activity_agent”を検索。もしこのプロセスが存在するならば、トロイの木馬に感染しているため、
If you see a process called “Activity_agent” in the OSX Activity Monitor application. You are infected.
Mirror Download Server Compromised – HandBrake
感染を確認した場合、以下のコマンドをターミナルに入力しトロイの木馬のプロセスなどを削除して欲しいとコメントしています。
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist rm -rf ~/Library/RenderFiles/activity_agent.app if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
感染したHandBrake for Mac
また、HandBrakeのミラーサーバーがハッキングされていた期間はUTC 2017年05月02日 14時30分から05月06日 11時までで、その期間にHandBrakeをダウンロードしたユーザーに対しては以下SHA1/SHA256の”HandBrake.dmg”がトロイの木馬を同梱しているとして削除するように求めています。
トロイの木馬を同梱したHandBrake v1.0.7のchecksum
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
正しいHandBrake v1.0.7のchecksum
正しいSHA1/SHA256は以下の通りで、詳しくはGitHubを参照してください。
SHA1: 6d2e5158f101dad94ede3d5cf5fda8fe9fd3c3b9 SHA256: 3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2
同梱されていたトロイの木馬
同梱されていたトロイの木馬は「OSX.PROTON」の亜種のようで、HandBrakeチームは既にこの検体をAppleに報告し、AppleはXProtectをアップデートするようです。
追記
Appleは同日、macOSのウィルス定義データベース「XProtect」をv2091へアップデートし、新たにリモートアクセス型トロイの木馬と思われる「OSX.Proton.B」をブロックしています。
- Mirror Download Server Compromised – HandBrake
コメント
クラッキングじゃない?
これdmgをダウンロードしたのじゃなく、当該期間中にHandBrake上からアップデートした場合はどうなんだろ?
その場合でもトロイが含まれてたのかな?
HandBrake v1.0(2016年12月24日リリース)以降のBuild-inアップデートはDSA署名での検証が入るため影響を受けず、v0.10.5(2016年02月12日リリース)以前の場合は検証機能がないためチェックしなければならないそうです。
・Downloads via the applications built-in updater with 1.0 and later are unaffected. These are verified by a DSA Signature and will not install if they don’t pass.
・Downloads via the applications built-in updater with 0.10.5 and earlier did not have verification so you should check your system with these older releases
ttps://forum.handbrake.fr/viewtopic.php?f=33&t=36364