Злоумышленники скомпрометировали сервер-«зеркало» официального сайта популярного открытого видеоконвертера HandBrake для Mac и использовали его для заражения систем пользователей трояном для удаленного доступа (Remote Access Trojan, RAT).
Об этой неприятной ситуации поведали разработчики приложения. По их данным, неизвестные взломали один из серверов (download.handbrake.fr), с которого пользователи загружали ПО, после чего заменили официальную версию HandBrake вредоносной, содержащей новый вариант трояна RAT Proton.
Обнаружен этот вредонос в январе этого года. С его помощью преступники могут получить доступ с правами суперпользователя на компьютерах Mac.
На данный момент скомпрометированный сервер уже отключен. Однако, компьютеры пользователей, загрузивших HandBrake в период с 2 по 6 мая нынешнего года, с вероятностью 50% могли заполучить вместо видеоконвертера нежелательное ПО. Проблема не затрагивает пользователей Mac, обновившихся до HandBrake 1.0 или выше, так как данные версии используют цифровую подпись DSA для проверки загруженных файлов.
Всем пользователям Mac, которые могли подвергнуть себя риску, стоит проверить свои системы. На инфицирование трояном указывает присутствие процесса Activity_agent в приложении «Мониторинг системы» на Mac. Вредоносная версия HandBrake использует следующие хэши:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Источник http://www.securitylab.ru/
