HandBrakeに同梱されたリモートアクセス型トロイの木馬(RAT)「OSX.Proton.B」はキーチェーンや1Passwordのデータも収集しているようです。詳細は以下から。
先日、トランスコーダHandBrakeのサーバーがハッキングされ、RAT「OSX.PROTON」の亜種が同梱されたHandBrakeが公開されていたことが明らかになりましたが、米Cybereasonのセキュリティ研究者Amit Serperさんによると、このRATはキーチェーンやブラウザの履歴、古い1Passwordのデータなども収集しているようです。
Proton.B zips your keychains and browser settings+saved data and exfils it. Of course that they are using system() to do it ♂️ pic.twitter.com/UzkD8irzjW
— Amit Serper (@0xAmit) 2017年5月7日
Also steals 1Password data… https://t.co/IlZPCtaP7u
— Amit Serper (@0xAmit) 2017年5月7日
~/Library/Application Support/1Password 4 ~/Library/Application Support/1Password 3.9
Appleは既にこのマルウェアを「OSX.Proton.B」としてXProtectでブロックしており、1Passwordのデータも暗号化されているため安全だと思われますが、
That sounds bad, but the good news is that anything you didn’t may be secure. For example, if you didn’t use 1Password at all while your machine was compromised and before you eliminated the problem, then you don’t need to worry: your 1Password data is encrypted on disk until you access it, and not entering your Master Password to do so means it can’t be captured.
If I was infected with OSX/Proton, is my 1Password data still secure? — AgileBits Support Forum
AppleがXProtectでブロックしたOSX.Proton.Bは特定のSHA1で指定されたHandBrakeに同梱の亜種のみとなっているため、Objective-SeeのPatrickさんなどは簡単にバイパス出来てしまうとコメントしています。
as the XProtect signature for OSX/Proton.B is just a SHA-1 hash, one can (obviously) change 1 byte to bypass/make malware 'undetectable' pic.twitter.com/eqAOMoaYjJ
— patrick wardle (@patrickwardle) 2017年5月7日
XProtect.yaraより
rule XProtect_OSX_Proton_B
{
meta:
description = "OSX.Proton.B"
condition:
Macho and filesize < 800000 and hash.sha1(0, filesize) == "a8ea82ee767091098b0e275a80d25d3bc79e0cea"
}
- If I was infected with OSX/Proton, is my 1Password data still secure? — AgileBits Support Forum
コメント