Het programma Handbrake is niet alleen prettig en betrouwbaar om snel en makkelijk video naar andere formaten om te zetten, het is ook nog gratis, een combinatie die zorgt dat het een erg populaire app is. Het is dan ook een app die regelmatig op het forum van MacFreak voorbij komt en vaak als oplossing aangeraden wordt.

Maar als je tussen 2 mei 16.30 en 6 mei 13.00 Handbrake 1.0.7 naar binnen gehaald hebt, dan zat daar iets bij wat bij niemand welkom zal zijn. Want in die periode was de server van de makers van Handbrake gehackt, en kwaadwillenden hadden malware aan het programma toegevoegd.

Gelukkig is het makkelijk om deze rotzooi te verwijderen. Eerst open je het programma Terminal, voer je de code hieronder in (even kopiëren en plakken) gevolgd door een Enter of een Return, als het gevraagd wordt even jouw admin-wachtwoord invoeren.

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app

Daarna moet je kijken of er in de Bibliotheek in jouw gebruikersmap in de folder VideoFrameworks het bestand "proton.zip" te vinden is. Als dat zo is dan moet je dit weggooien en de prullenmand legen. Daarna verwijder je de Handbrake-app in jouw Programma-folder, daarna zou je helemaal van deze troep af moeten zijn.

Meer informatie vind je op deze pagina op het forum van Handbrake zelf, daarna kan je op de site van Handbrake het programma opnieuw naar binnen halen en installeren.


met dank aan forumlid 'Pieterr', die als eerste dit nieuws meldde

Het blijft oppassen met de updates hiervan...

Toch een mooi programma!

Bedankt voor de waarschuwing! Ik heb dat vanavond ook vernomen via de grapevine.

Een super programma, anders, Handbrake.

Wat is Proton?

http://appleinsider.com/articles/17/03/14/proton-mac-trojan-has-apple-code-signing-signatures-sold-to-customers-for-50k

Ze zijn er dus mee actief. Hou je ogen open!

Wat raad je aan indien geupdate tussen 2 en 6 mei?
Deinstalleren, Malwarebytes draaien en opnieuw donwloaden?

Het is de vraag of Malwarebytes deze al herkent.

Ik zou eerst kijken of je geïnfecteerd bent (zie info link startposting).
Als dat zo is, staan er verwijderinstructies in de link genoemd.
Maar persoonlijk zou ik in dat geval de schijf wissen en OS X opnieuw installeren, en (de data uit) een backup van vóór de genoemde datum terugzetten.

Zoals ik heb begrepen zijn er op moment van schrijven nog geen scanners die deze trojan herkennen. Ook XProtect zelf laat het nog gewoon door.

Ik draai zelf Sophos, heb met opzet de besmette versie laten draaien (sandboxed dus geen verbinding met netwerk/internet/bluetooth) en geen alarm. En ja, ik heb inmiddels Sophos op de hoogte gebracht met een sample van de bestanden.

En ik heb natuuurlijk ook volgens de instructies alles verwijderd en via een aparte losse box alle uitgaande netwerkverkeer van mijn MBA in de gaten gehouden. Gelukkig geen verdere gevolgen.

Ik ben dus de sjaak....       2 mei een update van Handbrake geïnstalleerd.

Ik heb de check & instructies uit de bovenste link opgevolgde en de malware verwijderd. Daarna heb ik het dringende advies alle wachtwoorden te veranderen opgevolgd. Waar ik dat nog niet had heb ik two-factor-verification ingeschakeld.
Ook heb ik Little Snitch weer geïnstalleerd en check ik ieder uitgaand signaal op bestemming. Als de bestemming niet op het eerste oog duidelijk is, check ik het IP-adres.

Zie ik nog iets over het hoofd, behalve een clean install en het terugplaatsen van de Time Machine backup van 1 mei?

Ik heb zojuist 07 mei - 11:00u, ene update binnen gekregen van HandBrake.
Als ik kijk dan zie ik nergens "Activity_agent" die actief is...

Toch opletten of zo laten?

Pieterr om 12:28, 7-05-2017
Het is de vraag of Malwarebytes deze al herkent.

Thomas Reed (MBAM for Mac) is al op de hoogte, zie HandBrake question

wivy om 14:49, 7-05-2017
Ik heb zojuist 07 mei - 11:00u, ene update binnen gekregen van HandBrake.
Als ik kijk dan zie ik nergens "Activity_agent" die actief is...

Toch opletten of zo laten?

Het lijkt erop dat het bij jou goed zit... Op de website van HandBrake staat het volgende:

Summary

HandBrake-1.0.7.dmg was replaced by another unknown malicious file that DOES NOT match the SHA1 / SHA256 hashes on our website or on our Github Wiki which mirrors these:

https://github.com/HandBrake/HandBrake/wiki/Checksums[/list]

The Affected Download mirror (download.handbrake.fr) has been shutdown for investigation.

The Primary Download Mirror and website were unaffected.[/list]

Downloads via the applications built-in updater with 1.0 and later are unaffected. These are verified by a DSA Signature and will not install if they don't pass.

Downloads via the applications built-in updater with 0.10.5 and earlier did not have verification so you should check your system with these older releases

[/list]

Dus als je vanuit HandBrake zelf hebt geupdate lijkt het erop dat dat wel goed is gegaan.

@All: verbaast het jullie ook niet dat er zelfs nu nog niet één website hierover rept, met uitzondering van https://security.nl? Ik had Tweakers.net een nieuws-tip gestuurd: nul feedback en ook niet op de site. Sophos: sample en alles gestuurd: nul feedback. Als ik het niet tegen was gekomen hier op MacFreak had ik het echt niet geweten en met mij vele anderen. En dit lijkt me toch echt wel een serieuze dreiging....

Ik had het zelf gelezen op HN.

https://www.macrumors.com/2017/05/07/handbrake-app-security-warning-servers-hacked/

https://www.macobserver.com/news/psa-video-converter-handbrake-compromised-malware/

https://www.cyberciti.biz/open-source/handbrake-for-mac-mirror-server-was-compromised-and-infected-with-proton-malware/

https://www.bleepingcomputer.com/news/security/website-of-handbrake-app-hacked-to-spread-proton-rat-for-mac-users/

MackeyV40 om 16:54, 7-05-2017
@All: verbaast het jullie ook niet dat er zelfs nu nog niet één website hierover rept, met uitzondering van https://security.nl? Ik had Tweakers.net een nieuws-tip gestuurd: nul feedback en ook niet op de site. Sophos: sample en alles gestuurd: nul feedback. Als ik het niet tegen was gekomen hier op MacFreak had ik het echt niet geweten en met mij vele anderen. En dit lijkt me toch echt wel een serieuze dreiging....

Nee, verbaast me niks, als je even buiten het Apple-universum kijkt, dan is dit al vele vele jaren business-as-usual.
Wat me wel heel erg verbaasd is dat er in de Mac-wereld nog steeds zoveel mensen zijn die niet weten dat dit soort dingen er al enige tijd niet alleen meer voor Windows, maar ook voor de Mac zijn.

In het draadje over Avast wordt nog driftig geadviseerd vooral virusscanner etc van je systeem af te halen, terwijl de realiteit is dat cybercrime intussen behoorlijk geprofessionaliseerd is. Het zijn allang niet meer de individuele hackers die het voor de uitdaging doet, er gaat gewoon grof geld in om. Juist de naïviteit van de gemiddelde Mac-gebruiker maakt het een bijzonder lucratief platform om veel geld te verdienen.

jaco123 om 22:40, 7-05-2017

In het draadje over Avast wordt nog driftig geadviseerd vooral virusscanner etc van je systeem af te halen, terwijl de realiteit is dat cybercrime intussen behoorlijk geprofessionaliseerd is.

Vind je deze bedreiging dan met een virusscanner? Neen! Dat geldt overigens voor 99,99% van de huidige bedreigingen. Virussen zijn van de afgelopen decennia, nu is 99,00% phishing (waar geen antivirus tegen mogelijk is), en 0,99% zijn trojans (waar antivirus altijd achterloopt, waardoor deze je ook hier niet beschermt), zoals deze bedreiging.

De makers van HandBrake hebben de beveiliging overduidelijk niet op orde. Ze laten hun site keer op keer kraken, en hebben dat te laat door, waardoor ze dagenlang(!!!) een geïnfecteerd bestand aanbieden.

Hoe moeilijk kan het zijn? Een scriptje dat elke minuut controleert of de checksum nog juist is, en als dat niet het geval is, het bestand wist, is in 5 minuten te schrijven. En als ze dat niet kunnen, laten ze dan zelf enkele malen per dag het bestand controleren. Als je al 3 keer gekraakt bent, doe je er toch alles aan dat je gebruikers er niet een vierde keer weer last van krijgen?

Als ze de beveiliging niet voor elkaar kunnen krijgen, moeten ze misschien eens overstappen op de Mac App Store. Veel beter voor iedereen!

Je mist mijn punt: Inderdaad lopen virus/malware/trojan-scanners doorgaans achter de feiten aan. Handbrake-ontwikkelaars kunnen inderdaad beter hun best doen hun site te beveiligen. Daar ging mijn reactie dan ook niet over.

Wat ik met mijn reactie wilde zeggen is dat ik vooral verbaasd ben over het feit dat een groot deel van de Mac-gemeenschap nog steeds in de mythe gelooft dat het Apple-platform compleet veilig is.
De rest van de wereld weet al lang en beter hoe de wereld in elkaar zit en dat andere algemene sites zoals tweakers het 13-in-een-dozijn-Handbrake-incidentje niet oppikken als "groot nieuws" verbaast me dus ook niet echt  (i.t.t. MackeyV40 die daar expliciet naar vroeg).

jaco123 om 0:00, 8-05-2017

Wat ik met mijn reactie wilde zeggen is dat ik vooral verbaasd ben over het feit dat een groot deel van de Mac-gemeenschap nog steeds in de mythe gelooft dat het Apple-platform compleet veilig is.

Nee, je bent niet gegarandeerd veilig. Een antiviruspakket heeft daar exact 0 invloed op, op die veiligheid.

Ja, op een Mac met macOS ben je gegarandeerd beschermd tegen virussen. Alleen bestaan bedreigingen niet meer uit virussen.

Als je vertrouwde sites en hun stores / software (Apple, Microsoft, Google, ..., HandBrake) niet meer kunt vertrouwen, dan is de bodem onder de veiligheid weg.

Geleerde les hier: HandBrake niet automatisch updaten, en pas na een week na het lezen van alle nieuws eventueel updaten. HandBrake is uit de lijst vertrouwde site verdwenen.

Kijk hier voor meer info:

Apple heeft inmiddels een XProtect-handtekening uitgebracht om nieuwe infecties te voorkomen.

De in macOS ingebouwde bescherming beschermt je nu ook hiervoor. Dat is de enige juiste oplossing, een virusscanner is een lapmiddel!

MackeyV40 om 16:54, 7-05-2017

Citaat

wivy om 14:49, 7-05-2017
Ik heb zojuist 07 mei - 11:00u, ene update binnen gekregen van HandBrake.
Als ik kijk dan zie ik nergens "Activity_agent" die actief is...

Toch opletten of zo laten?

Het lijkt erop dat het bij jou goed zit... Op de website van HandBrake staat het volgende:

Citaat

Summary

HandBrake-1.0.7.dmg was replaced by another unknown malicious file that DOES NOT match the SHA1 / SHA256 hashes on our website or on our Github Wiki which mirrors these:

https://github.com/HandBrake/HandBrake/wiki/Checksums[/list]

The Affected Download mirror (download.handbrake.fr) has been shutdown for investigation.

The Primary Download Mirror and website were unaffected.[/list]

Downloads via the applications built-in updater with 1.0 and later are unaffected. These are verified by a DSA Signature and will not install if they don't pass.

Downloads via the applications built-in updater with 0.10.5 and earlier did not have verification so you should check your system with these older releases

[/list]

Dus als je vanuit HandBrake zelf hebt geupdate lijkt het erop dat dat wel goed is gegaan.

@All: verbaast het jullie ook niet dat er zelfs nu nog niet één website hierover rept, met uitzondering van https://security.nl? Ik had Tweakers.net een nieuws-tip gestuurd: nul feedback en ook niet op de site. Sophos: sample en alles gestuurd: nul feedback. Als ik het niet tegen was gekomen hier op MacFreak had ik het echt niet geweten en met mij vele anderen. En dit lijkt me toch echt wel een serieuze dreiging....

Inmiddels wel op https://tweakers.net/nieuws/124399/hackers-verspreiden-besmette-versie-mac-app-handbrake-via-mirrorserver.html

Oef, ook ik vind geen "Activity_agent" in Activiteitenweergave