黑客入侵了HandBrake的一个下载服务器,并利用它发布了macOS版本的包含恶意软件的应用程序。HandBrake是一个流行的视频文件转换开源程序。
手刹开发团队张贴安全警告在周六的项目网站和支持论坛上,提醒从5月2日至6日下载并安装该程序的Mac用户检查他们的电脑是否存在恶意软件。
攻击者只破坏了download.handbrake.fr下的一个下载镜像,而主下载服务器不受影响。正因为如此,下载了handbrac -1.0.7的用户。在此期间,dmg有50%的机会收到恶意版本的文件,HandBreak团队说。
谁通过程序内置的更新机制应该不会受到影响,因为更新验证程序的数字签名升级到1.0.7版本,并不会手刹1.0的用户,后来接受了恶意文件。
使用内置更新器的版本为0.10.5或更早版本的用户以及在这五天内手动下载程序的所有用户都可能受到影响,因此他们应该检查自己的系统。
根据一个分析Synack的安全研究主管帕特里克•沃德尔(Patrick Wardle)表示,从被攻破的魔镜上发布的“手制动”木马包含了针对macOS的新版本质子(Proton)恶意软件。
Proton是一款远程访问工具(RAT),今年早些时候在网络犯罪论坛上销售。它具有在这类程序中常见的所有特性:键盘记录、通过SSH或VNC远程访问,以及以根用户身份执行shell命令、获取网络摄像头和桌面屏幕截图、窃取文件等功能。
Wardle说,为了获得管理员权限,恶意的“手刹”安装程序伪装成安装额外的视频编解码器,向受害者索要密码。
木马软件将自己安装为一个名为activity_agent的程序。并设置一个名为fr.handbr .activity_agent的启动代理。请在每次用户登录时启动它。
“手刹”论坛公告包含了手动删除指令,并建议在mac电脑上发现恶意软件的用户更改所有存储在macOS密钥链或浏览器中的密码。
这只是过去几年来不断增长的一系列攻击中的最新一起,攻击者在这些攻击中损害了软件更新或分发机制。
上周,微软警告说,软件供应链攻击,其中一组黑客泄露一位不愿透露姓名的编辑工具的软件更新基础设施并用它来传播恶意软件来选择受害者:主要来自金融和支付处理行业的机构。
”这个通用的技术目标自更新软件和基础设施发挥了一系列引人注目的攻击,如针对Altair技术无关的事件”EvLog更新过程,自动升级机制韩国软件SimDisk和ESTsoft ALZip压缩应用程序所使用的更新服务器,”微软的研究人员说博客文章。
这也不是Mac用户第一次成为此类攻击的目标。macOS版本的流行传输BitTorrent客户端分布从该项目的官方网站被发现含有恶意软件去年有两次。
危害软件发行服务器的一种方法是从维护软件项目服务器基础结构的开发人员或其他用户那里窃取登录凭证。因此,当安全研究人员在今年早些时候检测到一种复杂的鱼叉式网络钓鱼攻击时,人们并不感到意外以GitHub上的开源开发者为目标。这些有针对性的电子邮件散发了一个名为“迪姆尼”(Dimnie)的信息窃取程序。