Un avertissement concernant le malware Mac a été émis pour toute personne qui a récemment téléchargé Handbrake pour Mac. Un serveur a été compromis et un cheval de Troie d’accès à distance (RAT) a été livré avec le fichier image du disque Apple Handbrake.
Un cheval de Troie d’accès à distance de vol d’informations d’identification a été découvert. Il a été fourni avec l’application d’encodage vidéo Handbrake lors des téléchargements de l’application entre le 2 et le 6 mai 2017. Ceci a permis l’installation du fichier malveillant Proton RAT.
Tous les utilisateurs ayant récemment téléchargé l’application entre les dates ci-dessus ont été avertis. Il leur est fortement recommandé de vérifier que leurs appareils n’ont pas été infectés. Selon une déclaration publiée par les développeurs de l’application, ces utilisateurs ont 50 % de chance d’avoir téléchargé le fichier malveillant.
Les cybercriminels ont pu compromettre un serveur Handbrake et associer le logiciel malveillant à l’application. Tous les appareils ayant utilisé le miroir de téléchargement hébergé download.handbrake.fr pouvaient donc être potentiellement infectés.
Apple a maintenant mis à jour son OSX XProtect pour détecter et supprimer l’infection, bien que les personnes à risque doivent vérifier si leur appareil a été infecté. Celle-ci peut être détectée en recherchant le processus Activity_agent dans le moniteur d’activité OSX. Si le processus est en cours d’exécution, ceci signifie que l’appareil a été infecté par le cheval de Troie.
Tout utilisateur ayant téléchargé le malware devra modifier tous les mots de passe stockés dans le trousseau d’accès Mac. Tout mot de passe stocké dans un navigateur devra également être modifié, car il est probable qu’il ait également été compromis.
Le cheval de Troie peut être facilement supprimé en ouvrant le Terminal et en entrant les commandes suivantes avant de supprimer toutes les instances de l’application Handbrake :
launchctl unload ~/Bibliothèque/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf / Library/RenderFiles/activity_agent.app
si /Library/VideoFrameworks/ contient proton.zip, supprimez le dossier
Proton RAT a été identifié pour la première fois plutôt cette année. Il est capable d’enregistrer les frappes au clavier pour voler les mots de passe ; d’exécuter des commandes « shell » en tant que « root » ; de voler des fichiers ; de prendre des captures d’écran du bureau et d’accéder à la webcam. Une fois installé, il s’exécutera à chaque fois que l’utilisateur se connecte.
Seuls les téléchargements de Handbrake pour Mac ont été affectés. Tout utilisateur ayant récemment effectué une mise à niveau via le mécanisme de mise à jour de Handbrake n’est donc pas concerné, car des vérifications sont effectuées pour empêcher le téléchargement de fichiers malveillants.
Le serveur compromis a maintenant été fermé afin d’empêcher tout nouveau téléchargement de malwares. Mais on ne sait pas encore comment l’accès au serveur a été obtenu par les pirates et comment le fichier image du disque Apple Handbrake a été remplacé par une version malveillante.
Si vous avez téléchargé HandBrake pour Mac, vous pourriez être infecté par
Proton RAT
Un serveur de téléchargement miroir de HandBrake — une application de conversion vidéo open source populaire pour Mac — a été compromis, et le fichier .dmg de l’application légitime a été remplacée par une version Trojan contenant le RAT Proton.
L’infection pourrait être néfaste
Toute personne ayant téléchargé HandBrake sur Mac doit vérifier le code « SHA1/256 » du fichier avant de l’exécuter, ont prévenu les développeurs qui ont affiché un lien vers l’alerte sur la page principale du projet.
Seuls les utilisateurs qui ont téléchargé le fichier HandBrake « 1.0.7.dmg » depuis le miroir de téléchargement à l’adresse « download.handbrake.fr » sont en danger. Le miroir de téléchargement principal et le site web n’ont pas été compromis.
Si vous voyez un processus appelé « Activity_agent » dans l’application « OSX Activity Monitor », cela signifie que votre appareil est infecté. Vous pouvez trouver l’Activity Monitor dans le menu « Applications/Utilitaires ».
Quel est le risque ?
Proton est un cheval de Troie d’accès à distance (RAT) pour macOS. Il a été récemment repéré comme étant vendu sur des forums clandestins russes de cybercriminalité.
Pour 40 bitcoins, les acheteurs obtenaient des installations illimitées. Le malware était signé d’une signature de développeur Apple légitime, afin qu’il ne soit pas bloqué par la technologie Gatekeeper d’Apple.
Proton permet à l’attaquant de se connecter à distance à la machine infectée. Il est capable de surveiller les frappes au clavier ; de surveiller une webcam ; de télécharger des fichiers malveillants et depuis une machine distante ; etc.
Il peut également présenter une fenêtre native personnalisée qui demande aux utilisateurs de saisir des informations — comme un numéro de carte de crédit — et peut accéder au compte iCloud de la victime, même s’il est protégé par une authentification à deux facteurs.
Que faire si votre appareil a été infecté par le ransomware ?
Les développeurs de HandBrake ont conseillé aux utilisateurs qui ont des ordinateurs infectés de modifier tous leurs mots de passe et ceux qu’ils ont enregistrés dans leur navigateur.
Mais avant de faire cela, ils doivent s’assurer qu’ils ont démarré Proton et les autres logiciels malveillants qu’il a pu installer sur leur machine.
Pour supprimer Proton, les développeurs conseillent d’ouvrir « Terminal.app » et d’exécuter les commandes suivantes :
launchctl unload /Library/LaunchAgents/fr.handbrake.activity agent.plist
rm -rf / Library/RenderFiles/activity_agent.app
Si « Library /VideoFrameworks/ » contient proton.zip, supprimez le dossier. Supprimez ensuite toute installation de HandBrake.app que vous pourriez avoir.
Pour trouver et supprimer d’autres malwares, les utilisateurs sont invités à utiliser une solution antivirus pour Mac pour analyser leur système.
Qu’est-ce qu’Apple à fait à ce sujet ?
Apple a ajouté une signature pour la version initiale de Proton à XProtect. Il s’agit d’un scanner antimalware intégré à macOS. La marque a également ajouté la signature pour une variante particulière de Proton, à savoir OSX.Proton.B.
Selon Patrick Wardle, chercheur en sécurité et développeur d’outils de sécurité pour Mac, cette protection peut facilement être déjouée par les pirates.
La signature n’est qu’un hachage « SHA-1 » correspondant uniquement à ce binaire Handbrake utilisant un RAT spécifique. En d’autres termes, si les auteurs du malware utilisent un autre vecteur d’infection, ou même s’ils recompilent simplement le binaire qui est infecté, cette signature ne signalera plus le malware.
Pour démontrer sa théorie, il a modifié le dernier octet du binaire. Cette manœuvre a changé son hachage « SHA-1 » grâce au téléchargement et l’installation sur un système Mac propre, sans aucun problème.
La raison pour laquelle Apple a opté pour une signature spécifique est que ses développeurs ont pensé que toute nouvelle attaque utiliserait un nouveau vecteur de distribution totalement différente. Ils ont pensé qu’il fallait juste utiliser une signature spécifique pour ce vecteur d’attaque.
Pourtant, comme XProtect prend désormais en charge YARA, une méthode permettant de mettre des signatures plus complexes, Help Net Security affirme qu’il aurait été judicieux de créer une signature plus générique, ce qui aurait au moins permis de déjouer des variantes de ce même vecteur d’attaque..
Cependant, aucune approche basée sur une signature ne peut arrêter les pirates informatiques. Même si Apple avait créé une signature plus robuste, si les escrocs étaient bons et voulaient continuer à distribuer le malware via ce vecteur d’attaque (ou un autre similaire), ils seraient capables de contourner toute signature.
Cette tactique particulière de diffusion de malwares n’est pas nouvelle
Sur le site officiel du projet Transmission (une plate-forme qui propose au téléchargement le client BitTorrent Transmission pour Mac), le système a été compromis plusieurs fois en une année. Le binaire légitime du logiciel a également été échangé avec un malware, notamment le ransomware Keydnap et KeRanger.
Notez que le développeur initial de Handbrake et de Transmission est la même personne. Cependant, l’équipe HandBrake a tenu à préciser qu’il ne fait pas partie de l’équipe actuelle de développeurs HandBrake et qu’elle ne partage pas ses machines virtuelles avec le projet Transmission.
Les utilisateurs qui ont effectué la mise à jour vers HandBrake 1.0.7 sont désormais en sécurité. En fait, le programme de mise à jour utilise les signatures « DSA » pour vérifier les fichiers téléchargés. La vérification des signatures a été introduite dans HandBrake 0.10.6. Si les utilisateurs ont effectué une mise à jour à partir d’une version antérieure, ils doivent donc vérifier leurs systèmes s’ils ont été compromis.
Instructions de suppression
L’équipe HandBrake fournit les instructions de suppression suivantes :
- Ouvrez l’application « Terminal » et exécutez la commande : launchctl unload /Library/LaunchAgents/fr.handbrake.activity_agent.plist
Exécutez ensuite la commande :
- rm -rf / Library /RenderFiles/activity_agent.app
- Si « Library/VideoFrameworks/ » contient proton.zip, supprimez le dossier.
- supprimez toute autre installation de HandBrake.app.
Changez tous les mots de passe pouvant résider dans les magasins de mots de passe de votre navigateur ou dans votre « KeyChain OSX ».
L’équipe HandBrake a mis hors ligne le serveur miroir de téléchargement concerné en vue d’une enquête. Après cela, l’équipe a déclaré que les téléchargements de l’application HandBrake seraient plus lents.
C’est déjà arrivé à la même équipe
L’auteur principal de l’application HandBrake est également l’auteur du client BitTorrent Transmission pour Mac. En mars 2016, un pirate inconnu avait compromis le miroir de téléchargement du client Transmission pour Mac, puis remplacé l’original par une version contenant le ransomware KeRanger.
Quelques mois plus tard, le même miroir de téléchargement a été à nouveau compromis. Cette fois, les escrocs ont utilisé le voleur d’identifiants de connexion Keydnap.
Le RAT Proton
Le RAT Proton est récemment apparu dans le paysage des menaces. La variante qui a été nouvellement annoncée sur les forums de piratage comprend de nombreuses fonctionnalités comme la possibilité d’exécuter des commandes de console ; d’accéder à la webcam de l’utilisateur ; d’enregistrer les frappes au clavier ; d’effectuer des captures d’écran, ou encore d’ouvrir des connexions distantes. Le code malveillant est également capable d’injecter un autre code malveillant dans le navigateur de l’utilisateur afin d’afficher des popups qui demandent aux victimes des informations comme des numéros de carte de crédit, des identifiants de connexion, etc.
Pour obtenir des privilèges d’administrateur, le programme d’installation malveillant de HandBrake demande aux utilisateurs leur mot de passe, sous prétexte d’installer des codecs vidéo supplémentaires.
Selon l’expert en sécurité Patrick Wardle, la variante Proton utilisée dans cette attaque n’a pas été détectée par les programmes antimalware.
L’avis publié sur le forum HandBrake fournit également des instructions de suppression manuelle. Les utilisateurs de Mac ayant trouvé le malware sur leur appareils doivent changer tous leurs mots de passe dans macOS ou dans leur navigateur.
Les escrocs ont utilisé des tactiques similaires dans le passé afin de diffuser des malwares. La version macOS du populaire BitTorrent Transmission a été trouvée, distribuant des malwares pour Mac à deux reprises.
Les utilisateurs de Mac qui ont téléchargé l’application de traitement vidéo HandBrake peuvent donc être infectés par un dangereux malware.
HandBrake est un outil gratuit qui est souvent utilisé dans le but d’éditer et de convertir des fichiers vidéo sur les machines macOS. Cependant, tous ceux qui l’ont téléchargé peuvent avoir involontairement infecté leur appareils avec un malware.
Des cybercriminels ont remplacé le programme d’installation de HandBrake par le cheval de Troie d’accès à distance (RAT) Proton, qui prend ensuite le contrôle total du système de la victime. Il peut également voler les mots de passe stockés sur votre appareil Mac.
Sur le forum MacRumors, Gannet a décrit comment le malware a essayé d’infecter son ordinateur. Comme c’est souvent le cas avec les malwares ciblant les appareils Mac, l’assistance de l’utilisateur est nécessaire pour que l’attaque réussisse.
Pour éviter tout cela, il faut toujours faire preuve d’esprit critique lorsque le système vous demande votre mot de passe. D’un autre côté, c’est précisément ce que l’on attend du véritable programme d’installation de HandBrake.
Comment savoir si votre système est infecté par HandBrake ?
Tout d’abord, ouvrez l’application « Activity Monitor » sur votre appareil. Elle se trouve dans le dossier « Utilities » du répertoire « Applications ». Si vous voyez un processus listé nommé « Activity_agent », cela signifie que votre appareil est infecté.
Pour supprimer l’infection, ouvrez l’application « Terminal ». Elle se trouve également dans le dossier « Utilities ». Ensuite, copiez et collez chacune des commandes suivantes (sans les guillemets), en appuyant sur Retour après chacune d’elles.
Si le Terminal indique que vous n’êtes pas autorisé, tapez alors le mot « sudo » avant la première commande et connectez-vous en utilisant le mot de passe d’un utilisateur autorisé à installer et supprimer des logiciels sur votre appareil.
- launchctl unload/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
- Library/VideoFrameworks/
La dernière commande liste les fichiers dans un certain répertoire. Si l’un de ces fichiers s’appelle proton.zip, alors vous n’avez qu’à copier et coller la chaîne de texte suivante dans le Terminal. Appuyez sur Retour pour supprimer le fichier.
rm -rf /Library/VideoFrameworks/proton.zip
Ensuite, appuyez sur Command (avec un espace) afin d’ouvrir la recherche « Spotlight » et tapez « handbrake.app ». Faites défiler jusqu’au bas des résultats et cliquez sur « Voir tous les résultats ». Dans la fenêtre suivante, recherchez toutes les instances de l’application Handbrake puis supprimez-les toutes. Faites un clic de commande sur l’icône de la corbeille, puis sélectionnez « Vider la corbeille ».
Quid des mots de passe ?
Ouvrez « Keychain » à partir du dossier « Utilitaires » susmentionné afin d’afficher vos mots de passe stockés. Changez-les pour chaque compte répertorié, car Proton avait accès à votre trousseau.
Vous devrez faire de même pour tous les mots de passe enregistrés dans vos navigateurs web. Si vous voulez afficher ceux enregistrés par Safari, cliquez sur « Safari » dans la barre de menus, puis sélectionnez « Préférences » et cliquez sur « Mots de passe ».
Dans Chrome, consultez chrome://settings/passwords pour les voir.
Si vous utilisez Firefox, vous les trouverez en vous rendant sur about:preferences#security et en cliquant sur « Saved Logins ».