黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

MAC软件也不安全:最新的Proton间谍软件侵害解密

2017-5-13 01:01| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 当前,恶意软件越来越多,也越来越隐蔽,Mac系统也不例外。近日,开源视频转换器应用程序HandBrake的开发人员警告称,最近下载Mac版本软件的用户,他们的设备可能感染了恶意软件。HandBrake上周星期六警告用户,称其 ...

当前,恶意软件越来越多,也越来越隐蔽,Mac系统也不例外。近日,开源视频转换器应用程序HandBrake的开发人员警告称,最近下载Mac版本软件的用户,他们的设备可能感染了恶意软件。

HandBrake上周星期六警告用户,称其镜像下载服务器遭到入侵,在 UTC(世界标准时间)5 月 2 日 14:30到 5 月 6 日 11:00之间下载 Mac 版 HandBrake 的用户在运行程序前需要检查文件的 HA1 / 256 哈希值,已经安装的用户需要检查OSX 活动监视程序中是否有 Activity_agent 的进程,如果有那么可以确定这部分用户的电脑已经感染了恶意程序。

“安装了Mac版本的HandBrake需要验证他们的系统是不是感染了木马,”一份公告说。“如果您在此期间下载了HandBrake,您有一半的机会可能下载了植入恶意程序的应用。”

然而,苹果已经推出了XProtect签名,以防止任何新的感染。同时,HandBrake还建议用户更改OSX KeyChain中的所有密码或者浏览器中存储的密码。

HandBrake是视频转换软件,从各种格式转换为支持的编解码器的免费软件。有Windows,Mac和Linux版本。这次警告来自Mac版本。开发人员建议在运行软件之前验证SHA1或SHA256的和。

带有以下校验和的 HandBrake.dmg 文件是已经被感染了的:

SHA1:0935a43ca90c6c419a49e4f8f1d75e68cd70b274

SHA256:013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

“如果您在OSX活动监视器应用程序中看到一个名为“activity_agent”的进程,那么就意味着您被感染了。

Proton是在俄罗斯地下论坛销售的远程访问木马或RAT。Sixgill的研究人员发表了Mac版本恶意软件的分析,该恶意软件用于监视受害者的活动;它可以监视按键,将文件上传到远程机器,从网络下载文件,窃取屏幕截图,并通过SSH或远程管理工具(如VNC)直接连接。

Sixgill的报告说:“这个恶意软件随附了正版的Apple代码签名。这意味着Proton RAT的开发者通过苹果在MAC OS开发者的第三方软件上进行了严格的过滤处理,并获得了程序的真实证书。”

Mac安全专家Patrick Wardle在上星期六的Objective-See博客上表示,Proton变体没有覆盖VirusTotal的反恶意软件引擎。Wardle表示,当受感染的HandBrake应用程序运行时,它会通过一个虚假的身份验证弹出窗口询问用户凭据。

“如果用户提供了用户名和密码,恶意软件将自行安装,”Wardle说,凭据还允许恶意软件提升权限。

通过入侵镜像下载服务器,攻击者可以参照其他Mac恶意软件提供的路线图,例如KeRanger,它感染了同一作者开发的合法BitTorrent客户端传输。HandBrake团队表示,它不与传输共享基础架构。

HandBrake还提供了从终端应用程序中删除木马的说明。

设备被感染的用户,需要打开 Terminal 然后运行以下指令才可删除恶意软件:

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist

rm -rf ~/Library/RenderFiles/activity_agent.app

if ~/Library/VideoFrameworks/ contains proton.zip,删除文件夹。

然后,用户还需要将他们在系统上安装的任何 Handbrake.app 都删除掉。安全起见,用户最好更改 OSX KeyChain 或者任何浏览器中保存的密码。

Handbrake 用户如果是通过主要下载镜像或 Handbrake 网站下载,或者是应用内置的更新器 1.0 版本下载的话,那么你可以安心,这些地方的文件都没有受到影响。但如果用户使用的是 Handbrake 0.10.5 或更早版本的话,建议你们也检查自己的系统是否被感染。

本次的恶意软件是 OSX.PROTON 的变体,苹果今年 2 月份更新了 XProtect 以防范原始 Proton 恶意软件。上周六苹果再次更新 了XProtect,目前用户设备应该已经自动更新了。

-END-


本文由网安视界(网络空间安全情报站和智库)独家创作整理,转载请注明出处。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/a6419062922593796353/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部