HandBrakeに同梱されたトロイの木馬「OSX.Proton.B」はキーチェーンや1Passwordのデータも収集しているもよう。

クロスプラットフォーム対応のエンコーダーアプリ「HandBrake」のアイコン セキュリティ
記事内に広告が含まれています。
スポンサーリンク

 HandBrakeに同梱されたリモートアクセス型トロイの木馬(RAT)「OSX.Proton.B」はキーチェーンや1Passwordのデータも収集しているようです。詳細は以下から。

クロスプラットフォーム対応のエンコーダーアプリ「HandBrake」のアイコン

 先日、トランスコーダHandBrakeのサーバーがハッキングされ、RAT「OSX.PROTON」の亜種が同梱されたHandBrakeが公開されていたことが明らかになりましたが、米Cybereasonのセキュリティ研究者Amit Serperさんによると、このRATはキーチェーンやブラウザの履歴、古い1Passwordのデータなども収集しているようです。

~/Library/Application Support/1Password 4
~/Library/Application Support/1Password 3.9

 Appleは既にこのマルウェアを「OSX.Proton.B」としてXProtectでブロックしており、1Passwordのデータも暗号化されているため安全だと思われますが、

That sounds bad, but the good news is that anything you didn’t may be secure. For example, if you didn’t use 1Password at all while your machine was compromised and before you eliminated the problem, then you don’t need to worry: your 1Password data is encrypted on disk until you access it, and not entering your Master Password to do so means it can’t be captured.

If I was infected with OSX/Proton, is my 1Password data still secure? — AgileBits Support Forum

AppleがXProtectでブロックしたOSX.Proton.Bは特定のSHA1で指定されたHandBrakeに同梱の亜種のみとなっているため、Objective-SeeのPatrickさんなどは簡単にバイパス出来てしまうとコメントしています。

XProtect.yaraより

rule XProtect_OSX_Proton_B
{
    meta:
        description = "OSX.Proton.B"
        
    condition:
        Macho and filesize < 800000 and hash.sha1(0, filesize) == "a8ea82ee767091098b0e275a80d25d3bc79e0cea"
}

コメント

タイトルとURLをコピーしました