Populaire Mac-software HandBrake getroffen door malware
Een van de downloadlinks voor HandBrake is tussen 2 en 6 mei misbruikt door cybercriminelen om malware te verspreiden. Dat hebben de ontwikkelaars van het programma zelf bekend gemaakt. Het gaat specifieke om ‘www.download.handbrake.fr’, één van de twee supplementaire download-mirrors die HandBrake aanbiedt. Volgens de makers zijn de officiële website en downloadlink niet getroffen door de infectie. HandBrake is een populair en gratis programma op Mac om video’s te transcoderen.
OSX.PROTON
Het Franse domein is tijdelijk offline gehaald, zodat de ontwikkelaars een uitgebreid onderzoek kunnen instellen naar hoe de infiltratie is gebeurd. Cybercriminelen wisten hun eigen malware te injecteren in de downloadlink, waardoor iedereen die het programma binnenhaalde potentieel ook een trojan verwelkomde. De makers adviseren daarom aan iedereen die denkt dat hij misschien slachtoffer is geworden van de infectie om hun systeem na te kijken. Dat kan op twee manieren.
De hackers slaagden erin om ergens op 2 mei het officiële installatiebestand te vervangen door een bestand dat een trojan genaamd OSX.PROTON bevatte. De SHA1-sleutel van de malware komt niet overeen met de publieke sleutel voor HandBrake. Wie het gedownloadde bestand nog op zijn computer heeft staan, kan dus controleren of de sleutels overeenkomen of niet. Als tweede optie kunnen gebruikers ook de macOS activiteitenweergave gebruiken om te zoeken naar ‘activity_agent’. Dat is het proces waaronder de Proton-trojan spioneert op je systeem.
Verwijderen
[related_article id=”214754″]OSX.PROTON kan je toetsaanslagen loggen, screenshots nemen van je machine, bestanden stelen en zelf dingen van het internet downloadden op je systeem. Het is dus aangeraden om je Mac zo snel mogelijk schoon te maken als je meent dat je de trojan hebt opgelopen, en je wachtwoorden te veranderen. Op het forum van HandBrake staat te lezen hoe je de Trojan weer verwijderd. Apple heeft ondertussen een update uitgerold voor XProtect die installatie van de PROTON-malware in de toekomst moet voorkomen.
Slachtoffers kunnen zichzelf troosten met het feit dat ze tenminste niet goedkoop zijn opgelicht. Volgens Extremetech is de trojan een erg geavanceerd stukje malware dat voor behoorlijk wat geld worden verhandeld op de zwarte markt, met prijzen die zo hoog gaan als 100 bitcoins – momenteel zo’n 166.400 euro waard.
Een van de downloadlinks voor HandBrake is tussen 2 en 6 mei misbruikt door cybercriminelen om malware te verspreiden. Dat hebben de ontwikkelaars van het programma zelf bekend gemaakt. Het gaat specifieke om ‘www.download.handbrake.fr’, één van de twee supplementaire download-mirrors die HandBrake aanbiedt. Volgens de makers zijn de officiële website en downloadlink niet getroffen door de infectie. HandBrake is een populair en gratis programma op Mac om video’s te transcoderen.
OSX.PROTON
Het Franse domein is tijdelijk offline gehaald, zodat de ontwikkelaars een uitgebreid onderzoek kunnen instellen naar hoe de infiltratie is gebeurd. Cybercriminelen wisten hun eigen malware te injecteren in de downloadlink, waardoor iedereen die het programma binnenhaalde potentieel ook een trojan verwelkomde. De makers adviseren daarom aan iedereen die denkt dat hij misschien slachtoffer is geworden van de infectie om hun systeem na te kijken. Dat kan op twee manieren.
De hackers slaagden erin om ergens op 2 mei het officiële installatiebestand te vervangen door een bestand dat een trojan genaamd OSX.PROTON bevatte. De SHA1-sleutel van de malware komt niet overeen met de publieke sleutel voor HandBrake. Wie het gedownloadde bestand nog op zijn computer heeft staan, kan dus controleren of de sleutels overeenkomen of niet. Als tweede optie kunnen gebruikers ook de macOS activiteitenweergave gebruiken om te zoeken naar ‘activity_agent’. Dat is het proces waaronder de Proton-trojan spioneert op je systeem.
Verwijderen
[related_article id=”214754″]OSX.PROTON kan je toetsaanslagen loggen, screenshots nemen van je machine, bestanden stelen en zelf dingen van het internet downloadden op je systeem. Het is dus aangeraden om je Mac zo snel mogelijk schoon te maken als je meent dat je de trojan hebt opgelopen, en je wachtwoorden te veranderen. Op het forum van HandBrake staat te lezen hoe je de Trojan weer verwijderd. Apple heeft ondertussen een update uitgerold voor XProtect die installatie van de PROTON-malware in de toekomst moet voorkomen.
Slachtoffers kunnen zichzelf troosten met het feit dat ze tenminste niet goedkoop zijn opgelicht. Volgens Extremetech is de trojan een erg geavanceerd stukje malware dat voor behoorlijk wat geld worden verhandeld op de zwarte markt, met prijzen die zo hoog gaan als 100 bitcoins – momenteel zo’n 166.400 euro waard.