אזהרת נוזקה למשתמשי Mac לאחר פריצה לשרת של HandBrake

שרת ההורדות של הכלי הפופולרי להמרת קבצי וידאו, HandBrake, נפרץ ע”י האקרים, אשר החליפו את גרסת התוכנה למחשבי Mac בנוזקה. הפעם מדובר בסוס טרויאני המאפשר להאקרים להשתלט על המחשב ולגנוב מידע רגיש.

 

משתמשי Mac יכולים למצוא את המידע אודות פרצת האבטחה באתר האינטרנט של התוכנה, בכתובת https://handbrake.fr,

בקישור הבא.

 

handbrake

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

כל משתמש שהוריד את תוכנת HandBrake על מערכת Mac בין [02/05/2017 14:30 UTC] ובין [06/05/2017 11:00 UTC] צריך לבדוק את ערכי ה-SHA 1/256 של הקובץ לפני הרצתו.

 

כל משתמש שהתקין את תוכנת HandBrake על מערכת Mac צריך לבדוק שהמערכת שלו לא נפגעה ע”י סוס טרויאני. יש לכם סיכוי של 50/50 אם הורדתם את תוכנת HandBrake במהלך תקופה זו.

 

חוקרים של חברת ESET זיהו את קובץ הנוזקה כ-OSX/Proton.A – סוס טרויאני אשר מאפשר לתוקפים לגשת מרחוק למחשבי Mac נגועים, מה שמאפשר להאקרים לצלם צילומי מסך של מחשבים נגועים, לקלוט פרטי כרטיס אשראי וסיסמאות בעת שהם נכתבים במקלדת, לפרוץ למצלמת הרשת ולגנוב קבצים. מדובר בגרסה עדכנית יותר לטרויאני OSX/Proton, שזוהה לראשונה בפברואר ונטען ע”י מספר חברות אבטחה שהוא פותח ע”י רוסיה.

 

מומלץ כי המשתמשים במוצרי אנטי-וירוס של חברות אחרות הדואגים לבטחונם ייצרו איתם קשר באופן ישיר כדי לראות אם פתרונות האבטחה שלהם למערכת הMac- מזהים את הגרסה העדכנית הנ”ל של הסוס הטרויאני Proton.

 

“לצערי קיים סיכוי נמוך מאוד שמשתמשי Mac יריצו תוכנת אנטי וירוס לעומת משתמשי Windows” אומר אמיר כרמי, מנהל הטכנולוגיות של ESET בישראל. “הדבר שנובע מתחושת ביטחון מוטעית שמערכת ההפעלה OSX חסינה לחלוטין מהתקפות – מה שהופך אותם למטרה קלה עבור פושעי סייבר אשר סימנו לעצמם את המערכת הזו כמטרה. בשנים האחרונות השימוש בפתרונות אבטחה למערכות Mac עלה בשל עליית רמת האיום – אך הוא עדיין נמוך (וכך גם כמויות הנוזקות לפלטפורמה זו) בהשוואה למשתמשי Microsoft Windows”.

 

עוד מוסיף כרמי כי “אכן, ישנן הרבה פחות נוזקות המיועדות ל-Mac OS X לעומת אלו המיועדות ל-Microsoft Windows, אך זו תהיה נחמה קטנה מאוד אםי משתמשי מק יפגעו מנוזקה כזו. במיוחד כאשר קיימים שחקנים בעלי משאבים עצומים שמעוניינים לפרוץ למחשבי מק.

באופן אישי, אני חושב שמשתמשי Mac שמתחברים לאינטרנט ללא פתרון אנטי וירוס מהימן חושפים עצמם לסיכונים מיותרים”.

 

אחד מהמשתמשים הוותיקים של HandBrake תיאר בפורום MacRumors כמה קרוב הוא היה לסיכון הנתונים שלו ע”י מתקפת הנוזקה:

 

HandBrake” היא תוכנה מעולה ששירתה אותי כשורה במשך השנים ויש לי כבוד רב למפתחים. תקלות בטיחות עלולות לקרות לכל אחד ואני בטוח שהם ינקטו באמצעים הנדרשים כדי לשפר זאת בעתיד.

עם זאת, אני מפרסם את זה מכיוון שכמעט נפלתי במלכודת הזו. הורדתי את תוכנת HandBrake בשבוע שעבר והופתעתי לגלות תיבת דו-שיח שהופיעה בעת ההפעלה, שמבקשת ממני להכניס את הסיסמא שלי כדי “להתקין קודקים נוספים”. כמשתמש ותיק של HandBrake, הייתי בטוח שזה *לא* רגיל, לכן סירבתי. זמן קצר לאחר מכן הוצגה לי תיבת דו-שיח נוספת, נפרדת מתוכנת HandBrake, המתחזה להודעה מטעם “הגדרות הרשת” של המערכת, שהזדקקה לסיסמה שלי כדי “לעדכן את הגדרות ה-DHCP”. מכיוון שגם הודעה זו לא הייתה מוכרת לי, סירבתי שנית, אך תיבת הדו-שיח הופיעה מחדש באופן מיידי ברגע שלחצתי על כפתור הביטול, והיה עליי להפעיל מחדש את המערכת כדי לגרום לה להיעלם. אז כן, אם אתם רואים תיבות דו-שיח חשודות שמבקשות סיסמה, *אל* תכניסו את הסיסמה שלכם”.

 

 

handbrake2

 

 

 

 

 

 

 

 

 

 

 

 

 

HandBrake ממליצה למשתמשים לבדוק את ערכי ה-SHA בעת שהם מורידים גרסאות חדשות של התוכנה מאתר המראה שלה, אך קשה לראות מצב בו משתמשים רבים יטרחו לעשות דבר כזה. הרוב, ללא ספק, יעדיפו לצרוב תקליטורי DVD ולהמיר קבצי וידאו באופן מיידי על פני הטרחה שבבדיקות אבטחה משעממות ומעייפות כמו אלה.

 

כמו כן, צירפה HandBrake הנחיות כיצד להסיר את הנוזקה למי שכבר נפגע:
1. פתחו את אפליקציית ה Terminal והריצו את הפקודה:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist

rm -rf ~/Library/RenderFiles/activity_agent.app

 

2. אם התיקייה ~/Library/VideoFrameworks/מכילה את הקובץ proton.zip, מחקו את כל התיקייה.

 

3. הסירו את כל ההתקנות של Handbrake שאתם מצליחים לאתר ברשימת האפליקציות המותקנות.

 

כמו כן, מומלץ לשנות את כל הסיסמאות השמורות ב OSX KeyChain, וסיסמאות ששמורות בדפדפנים.

 

בדיקת ערכי SHA עשויה להיות נטל, אך ככל הנראה היא הייתה מצילה כמה ממורידי התוכנה בימים האחרונים.

 

קבצי HandBrake.dmg עם ערכי ה-SHA הבאים נגועים:

 

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Facebooktwittergoogle_pluslinkedin

rssyoutube

65 queries in 0.422 seconds, using 31.96mb memory