Mac opäť v ohrození, tentokrát infikovaným HandBrake

Ešte len doslova pred chvíľou bol odhalený malvér pre macOS maskujúci sa za inštalačný súbor Adobe Flash Playeru a je tu nová hrozba. Tentokrát sú ohrození užívatelia populárneho videokonvertora HandBrake.

Pokiaľ si sťahoval HandBrake minulý týždeň, tvoj Mac môže byť infikovaný trójanom a to aj v prípade, že si ho sťahoval z oficiálneho zdroja, nakoľko jeden zo serverov bol hacknutý a preto je šanca, že máš infikovaný HandBrake.

HandBrake je populárny konvertor s množstvom nastavení a v Mac komunite je pomerne rozšírený, preto táto správa o infikovanom HandBrake je veľký bezpečnostný incident. Podľa oficiálneho zdroju bol infikovaný HandBrake online 5 dní, konkrétne medzi 02. májom 2017 14:30 a 06. májom 2017 11:00. Všetky časy sú uvedené v UTC (medzinárodný čas, Slovensko a Česko sú v pásme UTC +1, resp. UTC +2 cez platnosť letného času).

Tento trójan pravdepodobne infikuje aj systémový Keychain, preto po odstránení trójana odporúčame zmeniť si všetky heslá, ktoré tam máš uložené.

Ako zistíš čo sa to týka aj teba?

Jeden zo spôsobov je overiť si checksum. Hacknutý HandBrake.dmg má takýto:

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Druhým spôsobom je otvoriť si Activity Monitor a hľadať proces "Activity_agent". Ak ho nájdeš, máš infikovaný Mac.

Ako sa zbavíš trójanu?

Dá sa to cez Terminál, stačí zadať tieto príkazy:

• launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
• rm -rf ~/Library/RenderFiles/activity_agent.app
• if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Potom vymaž aplikáciu HandBrake.app. Odporúčam použiť nástroj typu AppCleaner, ktorý dokáže vymazať aj prípadné zvyšky po aplikácii.

Zdroj titulnej foto: todoespacoonline.com
Zdroj: 9to5mac.com