Mac: Video-converter HandBrake besmet met malware

6 reacties

HandBrake, de bekende software voor video-encoding heeft te maken gehad met een hack. Kwaadwillenden zijn een van de download-servers van de app binnengedrongen en hebben de Mac-app vervangen door een versie met ingebouwde Trojan.

De geïnfecteerde server is inmiddels afgesloten. Mac-gebruikers die HandBrake tussen 2 en 6 mei hebben gedownload, doen er goed aan te checken of ze besmet zijn. Ga als volgt te werk:

Check of je Mac besmet is met OSX.PROTON

Heb je HandBrake tussen 2 en 6 mei download? Dan is de kans 50 procent dat je besmet bent, de malware werd namelijk via één van de twee download-servers van HandBrake verspreid. Gelukkig is het eenvoudig om te checken of je Mac besmet is met de Trojan genaamd: OSX.PROTON.

  • Open Activiteitenweergave via Programma’s → Hulpprogramma’s.
  • Check in tabblad CPU of er een proces met de naam Activity_agent draait.
  • Indien dat proces in de lijst staat, ben je besmet.
Klik/tap voor groter.

HandBrake Trojan verwijderen

De trojan is eenvoudig te verwijderen via de Terminal. Open deze via Programma’s → Hulpprogramma’s en voer de volgende commando’s één voor één uit (kopieer/plak):

> launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist 
> rm -rf ~/Library/RenderFiles/activity_agent.app
> rm -rf ~/Library/VideoFrameworks/proton.zip 

Verwijder daarna HandBrake van je Mac door je applicatie naar de prullenbak te slepen en deze leeg te maken. Denk ook aan de Downloads-map. Vervolgens kun je een nieuwe versie van de app downloaden die vrij van Trojans is. Ben je niet zo bekend met de terminal? Download dan Malwarebytes Anti-Malware voor Mac en voer een scan uit.

Apple op de hoogte

Apple is op de hoogte van de infectie van heeft de ingebouwde anti-malware van macOS (genaamd XProtect) bijgewerkt. De ontwikkelaar van HandBrake benadrukt dat alleen gebruikers die de software handmatig via de website hebben gedownload geïnfecteerd kunnen zijn. Gebruikers die een automatische update via de software-update van de applicatie hebben uitgevoerd, zijn niet besmet.

HandBrake is niet de eerste applicatie die met dit probleem kampt. Vorig jaar werd Bittorrent-app Transmission ook met malware besmet door een gehackte download-server. Het ging toen om ransomware, die bestanden versleutelt en pas na betaling van digitaal ‘losgeld’ weer vrijgeeft. De Proton Trojan is echter een ander soort malware. Hackers konden via de malware onder andere op een Mac meekijken en toetsaanslagen vastleggen. Indien je Mac besmet was, raden we aan wachtwoorden die je handmatig hebt ingevoerd te veranderen.

Reacties

6 reacties
  • Profielfoto
    hen3

    Vervelend als je besmet bent, suc7 met het verwijderen.

    Hoewel ik zo ver ik het mij kan herinneren recent geen handmatige update heb uitgevoerd toch maar even een controle uitgevoerd. Dit in het kader van ‘vertrouwen is goed, controle is beter’.

  • Profielfoto
    SMac

    Ik dacht eigenlijk dat Handbrake helemaal niet meer aan updates deed?

  • Profielfoto
    sciletto

    Ik vind kans op 50% altijd zo grappig:) Dat is ja of nee.

    Gelukkig gebruik ik Smart Converter 2 Pro en geloof me, voor die 15,- euro (nu 16,99) is het jou geld waard. Ben er zeer tevreden mee en het werkt altijd voor de bestanden die ik moet converteren. Hij veranderd namelijk alleen de container en niet zoals handbrake het hele bestand. De kwaliteit blijf je tenminste houden.

  • Profielfoto
    Raymon

    Ik vind kans op 50% altijd zo grappig:) Dat is ja of nee.

    In dit geval komt het omdat ze twee download-servers gebruiken en 1 besmet was.

  • Profielfoto
    WernerT

    Objective See heeft een leuke blogposts en ook wat mooie gratis tools.

  • Profielfoto
    WernerT

    Ook handig: hoe check ik een signature…

    For websites that do offer these checksums, verification is easy. Open the Terminal application (Applications > Utilities) and type the following (include a space at the end):

     
    openssl sha1
     

    Now, simply drag and drop the downloaded file onto the Terminal window and hit enter. In the case of the malicious Handbrake download, this is the result:

     
    intego$ openssl sha1 /Users/intego/Desktop/HandBrake-1.0.7.dmg
    SHA1(/Users/intego/Desktop/HandBrake-1.0.7.dmg)= 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
     

    According to the Handbrake website the SHA1 checksum for this download should be “75c6204d7bd7d9c6e5b1fedb56697ae2f3857789,” they clearly do not match up. If any user got infected with Proton through Handbrake, they did not run this simple security check.

    via