Сайт популярного ПО для Mac используется для распространения RAT Proton
10.05.2017
Злоумышленники скомпрометировали сервер-"зеркало" официального сайта популярного открытого видеоконвертера HandBrake для Mac и используют его для распространения трояна для удаленного доступа (Remote Access Trojan, RAT). Об этом предупредили разработчики приложения.
По данным команды, неизвестные взломали один из серверов (download.handbrake.fr), с которого пользователи загружали ПО, и заменили официальную версию HandBrake вредоносной, содержащей новый вариант печально известного RAT Proton. Вредонос был обнаружен в январе нынешнего года на одном из русских хакерских форумов. С его помощью злоумышленники могут получить доступ с правами суперпользователя на компьютерах Mac.
На инфицирование трояном указывает присутствие процесса Activity_agent в приложении "Мониторинг системы" на Mac. Вредоносная версия HandBrake использует следующие хэши:
Разработчики уже отключили скомпрометированный сервер. По их словам, компьютеры пользователей, загрузивших HandBrake в период с 2 по 6 мая нынешнего года, с долей вероятности в 50% могут быть инфицированы трояном Proton. Проблема не затрагивает пользователей Mac, обновившихся до HandBrake 1.0 или выше, так как данные версии используют цифровую подпись DSA для проверки загруженных файлов.
