Im Jahr 2016 hat Handbrake seine Betaphase nach 13 Jahren beendet. Jedoch wurde einer der Mirror-Server des beliebten Open-Source-Videoencoders gehackt was zur Verbreitung von Malware auf Mac-Systemen führte. Nutzer von macOS sollten dringend eine Überprüfung durchführen um sicherzustellen, dass sie nicht Opfer eines Datenschädlings geworden sind der in der Lage ist, Passwörter zu stehlen.
Das teilten die Entwickler am Wochenende in einem Advisory mit. Demnach steckte in dem Download neben Handbrake selbst eine neue Variante der Malware "Proton", bei der es sich möglicherweise um einen vor einigen Monaten in Cybercrime-Foren gehandelten Schädling gleichen Namens handelt.
Ein Download-Server betroffen, ein anderer nicht
Laut Handbrake-Team hatten Nutzer zwischen dem 2. Mai und dem 6. Mai 2017 eine "50:50-Chance", sich den infizierten macOS-Download eingefangen zu haben. Ist dieser auf dem Rechner, läuft ein Prozess namens "Activity_agent", den man mit Hilfe der Aktivitätsanzeige des Betriebssystems auffinden kann. Das Handbrake-Team gab außerdem die SHA1- & SHA256-Checksummen des infizierten Download-Pakets durch. Um diese zu überprüfen, muss man das Dienstprogramm Terminal starten ? eine Anleitung mit den notwendigen Kommandos findet sich hier.
Details zur Entfernung von Proton in Handbrake
Eine Entfernungsanleitung für Proton hat das Handbrake-Team ähnlich wie veröffentlicht. Auch hier muss man einen Ausflug ins Terminal unternehmen. Die notwendigen Befehle lauten:
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
Sollte der Ordner "~/Library/VideoFrameworks/" vorhanden sein und "proton.zip" enthalten, sollte dieser entfernt werden. Anschließend wird HandBrake.app selbst das infizierte Hauptprogramm gelöscht. Es liegt im Anwendungsordner.
Entfernung reicht nicht aus
Die Handbrake-Macher warnen davor. Dass Entfernung von Proton allein wahrscheinlich nicht ausreicht. Die Malware könnte Passwörter aus dem macOS-Schlüsselbund und ebenfalls den Passwortdatenbanken auf dem System installierten Browser entwendet haben. Die Entwickler empfehlen, "alle" dort vorgehaltenen Passwörter zu ändern ? was in vielen Fällen eine große Mühe bedeuten dürfte. Proton erhält Zugriff auf das System, weil das veränderte Handbrake beim ersten Start die Eingabe des Administrationspassworts "zur Installation zusätzlicher Codecs" verlangt.
Apple ist informiert
Apple wurde mittlerweile informiert ? der Konzern dürfte seine XProtect-Datenbank die welche Ausführungsschutz für bekannte Malware darstellt, demnächst ergänzt haben. Infizierte Downloads sollen vom Server "download.handbrake.fr" gekommen sein die mittlerweile offline genommen wurde. Der Hauptmirror von Handbrake war dagegen laut Handbrake-Team sauber.
Downloads die mit dem Updater auf den Rechner kamen der seit Version 1․0 von Handbrake verfügbar ist, sind laut Handbrake-Team ebenfalls nicht betroffen, weil diese mittels DSA-Signatur überprüft und gegebenfalls nicht installiert werden. Wurde der Updater von Version 0․10․5 oder früher genutzt, könnte man sich den Schädling ebenfalls eingefangen haben, weil hier die DSA-Überprüfung im Rahmen der Update-Funktion fehlt. Der Fall erinnert an einen in einer anderen freien App steckenden Schädling. Damals war ein macOS-P2P-Client betroffen: Transmission.
Kommentare