Handbrake: Server kompromittiert, Trojaner eingeschleust

7. Mai 2017 Kategorie: Apple, Backup & Security, geschrieben von: caschy

Uiuiui, da ist bei Handbrake ein dickes Ding passiert, erinnert ein bisschen an die Transmission-Geschichte damals. Handbrake kennen sicher viele von uns. Gutes Tool, um Videos von Format A nach Format B zu bringen. Nun ist ein sehr schwerer Unfall passiert. Das Team gab eine Sicherheitswarnung für macOS-Nutzer heraus. Auf den Servern konnte die Datei  HandBrake-1.0.7.dmg von Angreifern ausgetauscht werden.

Sie wurde gegen eine schädliche Version ausgetauscht, die einen Trojaner mitbrachte. Der betroffene Spiegelserver download.handbrake.fr wurde nach Entdeckung offline genommen. Updates via der Handbrake-App 1.0 und höher selber sollen sicher sein:

Aussage dazu:

Anyone who has downloaded HandBrake on Mac between [02/May/2017 14:30 UTC] and [06/May/2017 11:00 UTC] needs to verify the SHA1 / 256 sum of the file before running it.

Woran erkennen Nutzer, dass sie betroffen sind? Sie sehen den Task Activity_agent in der Aktivitätsanzeige von macOS. Kann man den Trojaner entfernen? Ja, im Terminal von macOS:

Mitteilung
  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app
  • if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Danach sollte man auch die Handbrake-App entfernen. Welche Auswirkungen hat der aktive Trojaner? Laut Foren-Thread könnte er wohl in der Lage sein, alle Passwörter im macOS-Schlüsselbund oder Browser zu stehlen, man empfiehlt, sämtliche Passwörter zu ändern:

Mitteilung

Based on the information we have, you must also change all the passwords that may reside in your OSX KeyChain or any browser password stores.

Wie wurde der Trojaner aktiv? Nun ja, der Nutzer ging davon aus, saubere Software zu haben. Diese fragte dann nach Rechten, um angeblich Codecs zu installieren. Danach installierte sich der Schädling dauerhaft, was bei Einsatz einer Software wie BlockBlock auch aufgefallen wäre.


Anzeige: Der neue Karriereservice von Caschys Blog in Kooperation mit Instaffo. Lass dich von Unternehmen finden. Jetzt kostenfrei anmelden!

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 23915 Artikel geschrieben.