Hacker haben einen Download-Server für HandBrake, ein populäres Open-Source-Programm zur Konvertierung von Videodateien, kompromittiert und damit eine MacOS-Version der Anwendung, die Malware enthielt, verbreitet. Das HandBrake-Entwicklungsteam hat am Samstag eine Sicherheitswarnung auf der Projekt-Website und im Support-Forum veröffentlicht, die Mac-Benutzer, die das Programm vom 2. bis 6. Mai heruntergeladen und installiert haben, darauf aufmerksam macht, dass sie ihre Computer auf Malware überprüfen.
Die Angreifer kompromittierten nur einen Download-Spiegel, der unter download.handbrake.fr gehostet wurde, wobei der primäre Download-Server unberührt blieb. Aus diesem Grund haben Benutzer, die HandBrake-1.0.7.dmg während des fraglichen Zeitraums heruntergeladen haben, eine 50/50 Chance, eine bösartige Version der Datei erhalten zu haben, sagte das HandBreak-Team.
Benutzer von HandBrake 1.0 und höher, die über den integrierten Update-Mechanismus des Programms auf Version 1.0.7 aktualisiert haben, sollten nicht betroffen sein, da der Updater die digitale Signatur des Programms überprüft und die schädliche Datei nicht akzeptiert hätte. Benutzer der Version 0.10.5 und früher, die den eingebauten Updater verwendet haben, und alle Benutzer, die das Programm während dieser fünf Tage manuell heruntergeladen haben, könnten betroffen sein, also sollten sie ihre Systeme überprüfen.
Laut einer Analyse von Patrick Wardle, Leiter der Sicherheitsforschung bei Synack, enthielt die trojanisierte Version von HandBrake, die vom kompromittierten Spiegel verteilt wurde, eine neue Version der Proton-Malware für MacOS. Proton ist ein Remote Access Tool (RAT), das seit Anfang des Jahres in Cybercrime-Foren verkauft wird. Es hat alle Funktionen, die normalerweise in solchen Programmen zu finden sind: Keylogging, Fernzugriff über SSH oder VNC und die Möglichkeit, Shell-Befehle wie Root-, Grab-Webcam- und Desktop-Screenshots auszuführen, Dateien zu stehlen und mehr.
Um Admin-Rechte zu erhalten, fragte der bösartige HandBrake-Installer die Opfer nach ihrem Passwort unter dem Deckmantel der Installation zusätzlicher Video-Codecs, sagte Wardle. Die Trojaner-Software installiert sich als Programm namens activity_agent.app und richtet einen Launch Agent namens fr.handbrake.activity_agent.plist ein, um ihn bei jeder Anmeldung des Benutzers zu starten.
Die Ankündigung des HandBrake-Forums enthält Anweisungen zur manuellen Entfernung und empfiehlt Benutzern, die die Malware auf ihrem Mac finden, alle in ihren MacOS-Schlüsselanhängern oder Browsern gespeicherten Passwörter zu ändern. Dies ist nur die letzte in einer wachsenden Reihe von Angriffen in den letzten Jahren, in denen Angreifer Software-Update- oder -Verteilungsmechanismen kompromittiert haben.
Letzte Woche warnte Microsoft vor einem Angriff auf die Software-Lieferkette, bei dem eine Gruppe von Hackern die Software-Update-Infrastruktur eines unbenannten Editing-Tools kompromittierte und sie dazu verwendete, Malware an ausgewählte Opfer zu verteilen: hauptsächlich Organisationen aus der Finanz- und Zahlungsindustrie.
„Diese generische Technik des Targeting von selbstaktualisierender Software und ihrer Infrastruktur hat eine Rolle in einer Reihe von hochkarätigen Angriffen gespielt, wie z.B. unabhängige Vorfälle, die auf den EvLog Update-Prozess von Altair Technologies, den Auto-Update-Mechanismus für die südkoreanische Software SimDisk und den von ESTsoft’s ALZip Kompressionsanwendung verwendeten Update-Server abzielen“, sagten die Microsoft-Forscher in einem Blogbeitrag.
Dies ist auch nicht das erste Mal, dass Mac-Anwender durch solche Angriffe ins Visier genommen werden. Die MacOS-Version des beliebten Transmission BitTorrent-Clients, der von der offiziellen Website des Projekts verteilt wurde, enthielt im vergangenen Jahr zweimal Malware.
Eine Möglichkeit, Softwareverteilungsserver zu kompromittieren, besteht darin, Anmeldeinformationen von Entwicklern oder anderen Benutzern zu stehlen, die die Serverinfrastruktur für Softwareprojekte verwalten. Daher war es keine Überraschung, als Sicherheitsforscher Anfang des Jahres einen ausgeklügelten Speer-Phishing-Angriff auf Open-Source-Entwickler auf GitHub entdeckten. Die gezielten E-Mails verteilten ein Informationsdiebstahlprogramm namens Dimnie.