Mirror Download Server Compromised

SECURITY WARNING

Anyone who has downloaded HandBrake on Mac between [02/May/2017 14:30 UTC] and [06/May/2017 11:00 UTC] needs to verify the SHA1 / 256 sum of the file before running it.

Toch een mooi programma!

Een super programma, anders, Handbrake.

http://appleinsider.com/articles/17/03/14/proton-mac-trojan-has-apple-code-signing-signatures-sold-to-customers-for-50k

Ze zijn er dus mee actief. Hou je ogen open!

Ik zou eerst kijken of je geïnfecteerd bent (zie info link startposting).
Als dat zo is, staan er verwijderinstructies in de link genoemd.
Maar persoonlijk zou ik in dat geval de schijf wissen en OS X opnieuw installeren, en (de data uit) een backup van vóór de genoemde datum terugzetten.

Ik draai zelf Sophos, heb met opzet de besmette versie laten draaien (sandboxed dus geen verbinding met netwerk/internet/bluetooth) en geen alarm. En ja, ik heb inmiddels Sophos op de hoogte gebracht met een sample van de bestanden.

En ik heb natuuurlijk ook volgens de instructies alles verwijderd en via een aparte losse box alle uitgaande netwerkverkeer van mijn MBA in de gaten gehouden. Gelukkig geen verdere gevolgen.

(Bewerkt door MackeyV40 om 14:09, 7-05-2017)

Ik heb de check & instructies uit de bovenste link opgevolgde en de malware verwijderd. Daarna heb ik het dringende advies alle wachtwoorden te veranderen opgevolgd. Waar ik dat nog niet had heb ik two-factor-verification ingeschakeld.
Ook heb ik Little Snitch weer geïnstalleerd en check ik ieder uitgaand signaal op bestemming. Als de bestemming niet op het eerste oog duidelijk is, check ik het IP-adres.

Zie ik nog iets over het hoofd, behalve een clean install en het terugplaatsen van de Time Machine backup van 1 mei?

Toch opletten of zo laten?

Pieterr om 12:28, 7-05-2017
Het is de vraag of Malwarebytes deze al herkent.

Thomas Reed (MBAM for Mac) is al op de hoogte, zie HandBrake question

wivy om 14:49, 7-05-2017
Ik heb zojuist 07 mei - 11:00u, ene update binnen gekregen van HandBrake.
Als ik kijk dan zie ik nergens "Activity_agent" die actief is...

Toch opletten of zo laten?

Het lijkt erop dat het bij jou goed zit... Op de website van HandBrake staat het volgende:

Summary

HandBrake-1.0.7.dmg was replaced by another unknown malicious file that DOES NOT match the SHA1 / SHA256 hashes on our website or on our Github Wiki which mirrors these:

https://github.com/HandBrake/HandBrake/wiki/Checksums[/list]

The Affected Download mirror (download.handbrake.fr) has been shutdown for investigation.
The Primary Download Mirror and website were unaffected.

Downloads via the applications built-in updater with 1.0 and later are unaffected. These are verified by a DSA Signature and will not install if they don't pass.

Downloads via the applications built-in updater with 0.10.5 and earlier did not have verification so you should check your system with these older releases

Dus als je vanuit HandBrake zelf hebt geupdate lijkt het erop dat dat wel goed is gegaan.

@All: verbaast het jullie ook niet dat er zelfs nu nog niet één website hierover rept, met uitzondering van https://security.nl? Ik had Tweakers.net een nieuws-tip gestuurd: nul feedback en ook niet op de site. Sophos: sample en alles gestuurd: nul feedback. Als ik het niet tegen was gekomen hier op MacFreak had ik het echt niet geweten en met mij vele anderen. En dit lijkt me toch echt wel een serieuze dreiging....

https://www.macrumors.com/2017/05/07/handbrake-app-security-warning-servers-hacked/

https://www.macobserver.com/news/psa-video-converter-handbrake-compromised-malware/

https://www.cyberciti.biz/open-source/handbrake-for-mac-mirror-server-was-compromised-and-infected-with-proton-malware/

https://www.bleepingcomputer.com/news/security/website-of-handbrake-app-hacked-to-spread-proton-rat-for-mac-users/

MackeyV40 om 16:54, 7-05-2017
@All: verbaast het jullie ook niet dat er zelfs nu nog niet één website hierover rept, met uitzondering van https://security.nl? Ik had Tweakers.net een nieuws-tip gestuurd: nul feedback en ook niet op de site. Sophos: sample en alles gestuurd: nul feedback. Als ik het niet tegen was gekomen hier op MacFreak had ik het echt niet geweten en met mij vele anderen. En dit lijkt me toch echt wel een serieuze dreiging....

Nee, verbaast me niks, als je even buiten het Apple-universum kijkt, dan is dit al vele vele jaren business-as-usual.
Wat me wel heel erg verbaasd is dat er in de Mac-wereld nog steeds zoveel mensen zijn die niet weten dat dit soort dingen er al enige tijd niet alleen meer voor Windows, maar ook voor de Mac zijn.

In het draadje over Avast wordt nog driftig geadviseerd vooral virusscanner etc van je systeem af te halen, terwijl de realiteit is dat cybercrime intussen behoorlijk geprofessionaliseerd is. Het zijn allang niet meer de individuele hackers die het voor de uitdaging doet, er gaat gewoon grof geld in om. Juist de naïviteit van de gemiddelde Mac-gebruiker maakt het een bijzonder lucratief platform om veel geld te verdienen.

jaco123 om 22:40, 7-05-2017

In het draadje over Avast wordt nog driftig geadviseerd vooral virusscanner etc van je systeem af te halen, terwijl de realiteit is dat cybercrime intussen behoorlijk geprofessionaliseerd is.

De makers van HandBrake hebben de beveiliging overduidelijk niet op orde. Ze laten hun site keer op keer kraken, en hebben dat te laat door, waardoor ze dagenlang(!!!) een geïnfecteerd bestand aanbieden.

Hoe moeilijk kan het zijn? Een scriptje dat elke minuut controleert of de checksum nog juist is, en als dat niet het geval is, het bestand wist, is in 5 minuten te schrijven. En als ze dat niet kunnen, laten ze dan zelf enkele malen per dag het bestand controleren. Als je al 3 keer gekraakt bent, doe je er toch alles aan dat je gebruikers er niet een vierde keer weer last van krijgen?

Als ze de beveiliging niet voor elkaar kunnen krijgen, moeten ze misschien eens overstappen op de Mac App Store. Veel beter voor iedereen!

Wat ik met mijn reactie wilde zeggen is dat ik vooral verbaasd ben over het feit dat een groot deel van de Mac-gemeenschap nog steeds in de mythe gelooft dat het Apple-platform compleet veilig is.
De rest van de wereld weet al lang en beter hoe de wereld in elkaar zit en dat andere algemene sites zoals tweakers het 13-in-een-dozijn-Handbrake-incidentje niet oppikken als "groot nieuws" verbaast me dus ook niet echt  (i.t.t. MackeyV40 die daar expliciet naar vroeg).

jaco123 om 0:00, 8-05-2017

Wat ik met mijn reactie wilde zeggen is dat ik vooral verbaasd ben over het feit dat een groot deel van de Mac-gemeenschap nog steeds in de mythe gelooft dat het Apple-platform compleet veilig is.

Ja, op een Mac met macOS ben je gegarandeerd beschermd tegen virussen. Alleen bestaan bedreigingen niet meer uit virussen.

Als je vertrouwde sites en hun stores / software (Apple, Microsoft, Google, ..., HandBrake) niet meer kunt vertrouwen, dan is de bodem onder de veiligheid weg.

Geleerde les hier: HandBrake niet automatisch updaten, en pas na een week na het lezen van alle nieuws eventueel updaten. HandBrake is uit de lijst vertrouwde site verdwenen.

Apple heeft inmiddels een XProtect-handtekening uitgebracht om nieuwe infecties te voorkomen.

De in macOS ingebouwde bescherming beschermt je nu ook hiervoor. Dat is de enige juiste oplossing, een virusscanner is een lapmiddel!

MackeyV40 om 16:54, 7-05-2017

Citaat

wivy om 14:49, 7-05-2017
Ik heb zojuist 07 mei - 11:00u, ene update binnen gekregen van HandBrake.
Als ik kijk dan zie ik nergens "Activity_agent" die actief is...

Toch opletten of zo laten?

Het lijkt erop dat het bij jou goed zit... Op de website van HandBrake staat het volgende:

Citaat

Summary

HandBrake-1.0.7.dmg was replaced by another unknown malicious file that DOES NOT match the SHA1 / SHA256 hashes on our website or on our Github Wiki which mirrors these:

https://github.com/HandBrake/HandBrake/wiki/Checksums[/list]

The Affected Download mirror (download.handbrake.fr) has been shutdown for investigation.
The Primary Download Mirror and website were unaffected.

Downloads via the applications built-in updater with 1.0 and later are unaffected. These are verified by a DSA Signature and will not install if they don't pass.

Downloads via the applications built-in updater with 0.10.5 and earlier did not have verification so you should check your system with these older releases

Dus als je vanuit HandBrake zelf hebt geupdate lijkt het erop dat dat wel goed is gegaan.

@All: verbaast het jullie ook niet dat er zelfs nu nog niet één website hierover rept, met uitzondering van https://security.nl? Ik had Tweakers.net een nieuws-tip gestuurd: nul feedback en ook niet op de site. Sophos: sample en alles gestuurd: nul feedback. Als ik het niet tegen was gekomen hier op MacFreak had ik het echt niet geweten en met mij vele anderen. En dit lijkt me toch echt wel een serieuze dreiging....

Inmiddels wel op https://tweakers.net/nieuws/124399/hackers-verspreiden-besmette-versie-mac-app-handbrake-via-mirrorserver.html