שרת ההורדות של הכלי הפופולרי להמרת קבצי וידאו, HandBrake, נפרץ ע"י האקרים, אשר החליפו את גרסת התוכנה למחשבי Mac בנוזקה. הפעם מדובר בסוס טרויאני המאפשר להאקרים להשתלט על המחשב ולגנוב מידע רגיש.
משתמשי Mac יכולים למצוא את המידע אודות פרצת האבטחה באתר האינטרנט של התוכנה, בכתובת handbrake.fr, בקישור הבא.
מתוך welivesecurity
כך נוסחה ההודעה שהופיעו למשתמשים באתר:
"כל משתמש שהוריד את תוכנת HandBrake על מערכת Mac בין [02/05/2017 14:30 UTC] ובין [06/05/2017 11:00 UTC] צריך לבדוק את ערכי ה-SHA 1/256 של הקובץ לפני הרצתו.
כל משתמש שהתקין את תוכנת HandBrake על מערכת Mac צריך לבדוק שהמערכת שלו לא נפגעה ע"י סוס טרויאני. יש לכם סיכוי של 50/50 אם הורדתם את תוכנת HandBrake במהלך תקופה זו".
מוצרי האבטחה של ESET זיהו את קובץ הנוזקה כ-OSX/Proton.A – סוס טרויאני אשר מאפשר לתוקפים לגשת מרחוק למחשבי Mac נגועים, מה שמאפשר להאקרים לצלם צילומי מסך של מחשבים נגועים, לקלוט פרטי כרטיס אשראי וסיסמאות בעת שהם נכתבים במקלדת, לפרוץ למצלמת הרשת ולגנוב קבצים. מדובר בגרסה עדכנית יותר לטרויאני OSX/Proton, שזוהה לראשונה בפברואר ונטען ע"י מספר חברות אבטחה שהוא פותח ע"י רוסיה.
מומלץ כי המשתמשים במוצרי אנטי-וירוס של חברות אחרות הדואגים לבטחונם ייצרו איתם קשר באופן ישיר כדי לראות אם פתרונות האבטחה שלהם למערכת הMac- מזהים את הגרסה העדכנית הנ"ל של הסוס הטרויאני Proton.
לצערנו קיים סיכוי נמוך מאוד שמשתמשי Mac יריצו תוכנת אנטי וירוס לעומת משתמשי Windows, הדבר שנובע מתחושת ביטחון מוטעית שמערכת ההפעלה OSX חסינה לחלוטין מהתקפות – מה שהופך אותם למטרה קלה עבור פושעי סייבר. בשנים האחרונות השימוש בפתרונות אבטחה למערכות Mac עלה בשל עליית רמת האיום – אך הוא עדיין נמוך בהשוואה למשתמשי Microsoft Windows.
ישנן הרבה פחות נוזקות המיועדות ל-Mac OS X לעומת אלו המיועדות ל-Microsoft Windows, אך זו תהיה נחמה קטנה מאוד אם משתמשי מק יפגעו מנוזקה כזו. במיוחד כאשר קיימים שחקנים בעלי משאבים עצומים שמעוניינים לפרוץ למחשבי Mac. משתמשי Mac שמתחברים לאינטרנט ללא פתרון אנטי וירוס מהימן חושפים עצמם לסיכונים מיותרים.
אחד מהמשתמשים הוותיקים של HandBrake תיאר בפורום MacRumors כמה קרוב הוא היה לסיכון הנתונים שלו ע"י מתקפת הנוזקה:
"HandBrake היא תוכנה מעולה ששירתה אותי כשורה במשך השנים ויש לי כבוד רב למפתחים. תקלות בטיחות עלולות לקרות לכל אחד ואני בטוח שהם ינקטו באמצעים הנדרשים כדי לשפר זאת בעתיד.
עם זאת, אני מפרסם את זה מכיוון שכמעט נפלתי במלכודת הזו. הורדתי את תוכנת HandBrake בשבוע שעבר והופתעתי לגלות תיבת דו-שיח שהופיעה בעת ההפעלה, שמבקשת ממני להכניס את הסיסמא שלי כדי "להתקין קודקים נוספים". כמשתמש ותיק של HandBrake, הייתי בטוח שזה *לא* רגיל, לכן סירבתי. זמן קצר לאחר מכן הוצגה לי תיבת דו-שיח נוספת, נפרדת מתוכנת HandBrake, המתחזה להודעה מטעם "הגדרות הרשת" של המערכת, שהזדקקה לסיסמה שלי כדי "לעדכן את הגדרות ה-DHCP". מכיוון שגם הודעה זו לא הייתה מוכרת לי, סירבתי שנית, אך תיבת הדו-שיח הופיעה מחדש באופן מיידי ברגע שלחצתי על כפתור הביטול, והיה עליי להפעיל מחדש את המערכת כדי לגרום לה להיעלם. אז כן, אם אתם רואים תיבות דו-שיח חשודות שמבקשות סיסמה, *אל* תכניסו את הסיסמה שלכם".
מתוך welivesecurity
HandBrake ממליצה למשתמשים לבדוק את ערכי ה-SHA בעת שהם מורידים גרסאות חדשות של התוכנה מאתר המראה שלה, אך קשה לראות מצב בו משתמשים רבים יטרחו לעשות דבר כזה. הרוב, ללא ספק, יעדיפו לצרוב תקליטורי DVD ולהמיר קבצי וידאו באופן מיידי על פני הטרחה שבבדיקות אבטחה משעממות ומעייפות כמו אלה.
כמו כן, צירפה HandBrake הנחיות כיצד להסיר את הנוזקה למי שכבר נפגע:
1. פתחו את אפליקציית ה Terminal והריצו את הפקודה:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app
2. אם התיקייה ~/Library/VideoFrameworks/ מכילה את הקובץ proton.zip, מחקו את כל התיקייה.
3. הסירו את כל ההתקנות של Handbrake שאתם מצליחים לאתר ברשימת האפליקציות המותקנות.
כמו כן, מומלץ לשנות את כל הסיסמאות השמורות ב OSX KeyChain, וסיסמאות ששמורות בדפדפנים.
בדיקת ערכי SHA עשויה להיות נטל, אך ככל הנראה היא הייתה מצילה כמה ממורידי התוכנה בימים האחרונים.
קבצי HandBrake.dmg עם ערכי ה-SHA הבאים נגועים:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256:013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793