Handbrake: Server kompromittiert, Trojaner eingeschleust

Uiuiui, da ist bei Handbrake ein dickes Ding passiert, erinnert ein bisschen an die Transmission-Geschichte damals. Handbrake kennen sicher viele von uns. Gutes Tool, um Videos von Format A nach Format B zu bringen. Nun ist ein sehr schwerer Unfall passiert. Das Team gab eine Sicherheitswarnung für macOS-Nutzer heraus. Auf den Servern konnte die Datei  HandBrake-1.0.7.dmg von Angreifern ausgetauscht werden.

[irp]

Sie wurde gegen eine schädliche Version ausgetauscht, die einen Trojaner mitbrachte. Der betroffene Spiegelserver download.handbrake.fr wurde nach Entdeckung offline genommen. Updates via der Handbrake-App 1.0 und höher selber sollen sicher sein:

Aussage dazu:

Anyone who has downloaded HandBrake on Mac between [02/May/2017 14:30 UTC] and [06/May/2017 11:00 UTC] needs to verify the SHA1 / 256 sum of the file before running it.

Woran erkennen Nutzer, dass sie betroffen sind? Sie sehen den Task Activity_agent in der Aktivitätsanzeige von macOS. Kann man den Trojaner entfernen? Ja, im Terminal von macOS:

Mitteilung
  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app
  • if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Danach sollte man auch die Handbrake-App entfernen. Welche Auswirkungen hat der aktive Trojaner? Laut Foren-Thread könnte er wohl in der Lage sein, alle Passwörter im macOS-Schlüsselbund oder Browser zu stehlen, man empfiehlt, sämtliche Passwörter zu ändern:

Mitteilung

Based on the information we have, you must also change all the passwords that may reside in your OSX KeyChain or any browser password stores.

Wie wurde der Trojaner aktiv? Nun ja, der Nutzer ging davon aus, saubere Software zu haben. Diese fragte dann nach Rechten, um angeblich Codecs zu installieren. Danach installierte sich der Schädling dauerhaft, was bei Einsatz einer Software wie BlockBlock auch aufgefallen wäre.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

16 Kommentare

  1. ich habe mich eigentlich immer entspannt gefühlt, wenn ich vor meinem iMac gesessen habe. Ohne Virenscanner und ohne Angst vor Trojanern.
    Was ist das jetzt?
    Ich nutze Handbrake nicht, aber muss ich mir allgemein jetzt doch mehr Gedanken machen?

  2. Autsch…. das ist wirklich ein dickes Ei was denen passiert ist.

  3. Wäre mit Windows 10 S nicht passiert… 😉

  4. Wenn unter GPL lizensierte Software endlich im App Store angeboten werden könnte, gäbe es diese Probleme nicht…

  5. @thomas Es wäre mit einem Opel Astra auch nicht passiert. Solche Antworten halte ich aber für komplett überflüssig. Hier geht es nicht um Windows.

  6. @Udo
    In vielen News um Sicherheitslücken und Fehler mit Windowssystemen geht es auch NIE um iOS oder Linux und doch kommen alle immer aus den Löchern gekrabbelt und geben ihre „komplett überflüssigen“ Kommentare ab. Den kleinen MIT AUGENZWINKERN gemeinten Seitenhieb könnte ich da sogar verstehen. Wenn Thomas durch das explizite nennen von Windows 10 _S_ nicht sogar auch wieder einen Seitenhieb gegen MS geben wollte.

    Nun hat es einmal Macsysteme und iOS getroffen, wenn auch nicht durch fehlerhaften Code. Wenn wir alle endlich einmal einsehen, dass es verschiedene Geschmäcker gibt und _kein_ System sicher ist solange es im Internet ist, Wechseldatenträger benutzt werden und der Benutzer einfach nicht aufpasst und nicht durchgängig versuchen würden, andere zu bekehren und das jeweils andere System „schlecht“ zu machen, wäre alles supi. 🙂

    @Caschy
    Ich hatte es schon einmal angesprochen, weil ich es von einer anderen großen techseite kenne und mir unendlich hilft:
    Ist es möglich vor solchen news irgendwie „iOS:“ zu schreiben? Also: „iOS: Uiuiui, da ist bei Handbrake ein dickes Ding passiert, erinnert ein bisschen an die […]“

    Ich weiß ihr packt es in entsprechende Kategorien, aber ich als jemand, der eure News per Feed bekomme und dann bei interesse auf eure Seite geht, sieht die erst, wenn ich mich dann durchgelesen habe (Ja, ich achte auch net drauf).
    Nur als Anregung. Mir würde es helfen und anderen vielleicht auch 🙂

  7. Hmm… gestern ist ein Flugzeug abgestürzt, ich fliege nie. Muss ich mir jetzt allgemein mehr Sorgen machen?
    Finde den Fehler…

  8. @Udo: Wie schon angedeutet ist es wohl nicht verkehrt, sich unabhängig vom genutzten System wenigstens um ein paar grundlegende Sicherheitseinrichtungen Gedanken zu machen. Ich nutze unter Windows schone eine ganze Weile keine Security-Software von Drittanbietern mehr und fühle mich trotzdem entspannt … 🙂

  9. erforderlich says:

    bester Kommentar @Thomas
    und die goldene Gesichtspalme geht heute an: UDO

  10. kein Wunder dass viele Blog-Betreiber die Kommentarfunktion ganz abschalten. Ich bin dann raus..

  11. Wolfgang D. says:

    Danke, so wünsche ich mir Meldungen zu Schadsoftware.

    Nach Lesen von Patrick’s Analyse schlussfolgere ich, es ist eine Werbeaktion für den schwächelnden Mac App-Store. Bis auch dort einmal Malware gefunden wird…

    Wer sich aber auf nem Apple PC bisher sicher gefühlt hat, belügt sich schon lange selber. Vor allem der lächerliche Pseudo-„Schutz“ durch XProtect Signaturen, unglaublich dass es sowas auf modernen Computersystemen überhaupt noch gibt. Das einzige was Apple macht, ist anscheinend, die Wartungsunfreundlichkeit weiter zu verschlechtern. Jedenfalls ist das Wettrennen Virenhersteller/AV-Programmierer offiziell eröffnet, willkommen in der Welt populärer Betriebssysteme!

    Ich muss sagen, sowas wie die Tools von Patrick suche ich für den Mac schon lange. Das ist wie die Sysinternals Tools für Windows, unverzichtbar für den Werkzeugkasten des Computerhandwerkers. Bin mal gespannt, wie lange es die noch gibt.

  12. Und für die Schlangenölhersteller doch bestimmt alles kein Problem. Ach nee, na sowas.

  13. @Udo
    Um einen Mac mit Malware und anderer ungewollter Software zu infizieren ist in jedem Fall Benutzername und Passwort nötig. So wie auch in diesem Fall. Also Vorsicht walten lassen wo du dein Passwort eingibst oder auf Apps aus dem App Store beschränken.

    @Wolfgang D.
    In diesen und anderen Fällen war es aber so dass die Malware schon auf Apple’s XProtect Liste war bevor sie von Virenscannern erkannt wurde. Boom.

  14. Wolfgang D. says:

    @Kalle
    Boom was? Ist die Blase vom Fangirl geplatzt? Die Liste von Apple ist nen Dreck wert, man muss für Nichterkennung nur ein Byte der Datei ändern. Was gerade bei Schadprogrammen nicht unüblich ist.

  15. Die Liste, die einen Dreck wert ist, blockt Schadsoftware erfolgreich, sollte sie jemand mit seinem Nutzernamen und Passwort installieren. Boom. Aber wie immer, netter Versuch!

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.