Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Apple: Le site Web d'un logiciel Mac populaire a été piraté pour diffuser des logiciels malveillants

8 Mai 2017 , Rédigé par nicko Publié dans #informatique

Si vous avez récemment téléchargé l'application populaire de transcodage vidéo open source HandBrake sur votre Mac, il existe des chances que votre ordinateur soit infecté par un Trojan notoire d'accès à distance(RAT).

Apple: Le site Web d'un logiciel Mac populaire a été piraté pour diffuser des logiciels malveillants

L'équipe de HandBrake a émis une alerte de sécurité samedi, avertissant les utilisateurs de Mac que l'un de ses serveurs miroirs pour télécharger le logiciel a été compromis par des pirates informatiques.

Dans le cas où vous ne le savez pas, HandBrake est une application de transcodage vidéo open source qui permet aux utilisateurs de Mac de convertir des fichiers multimédias d'un format à l'autre.

Selon l'équipe de HandBrake, un pirate inconnu ou un groupe de pirates informatiques a compromis le serveur miroir de téléchargement (download.handbrake.fr) puis remplacé la version Mac du client HandBrake (HandBrake-1.0.7.dmg) avec une version malveillante infectée par une nouvelle variante de Proton .

À l'origine découverte en février sur un forum de piratage souterrain russe, Proton est un trojan d'accès à distance basé sur Mac qui offre aux attaquants des privilèges d'accès à la racine du système infecté.

Le serveur affecté a été fermé pour enquête, mais l'équipe HandBrake avertit que quiconque ayant téléchargé HandBrake pour Mac depuis ce serveur entre le 2 mai et le 6 mai 2017 a "une chance sur deux" d'avoir été infecté  par Proton.

 

Comment vérifier si vous êtes infecté?

L'équipe de HandBrake a fourni des instructions pour les personnes moins techniques, celles-ci peuvent vérifier si elles ont été infectées.

Dirigez-vous vers l'application OSX Activity Monitor, et si vous voyez un processus appelé «Activity_agent», vous êtes infecté par le trojan.

Vous pouvez également rechercher des hashs pour vérifier si le logiciel que vous avez téléchargé est corrompu ou malveillant. L'application infectée est signée avec les hachages suivants:

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Si vous avez installé HandBrake.dmg avec les sommes de contrôle ci-dessus, vous êtes infecté par le cheval de Troie.

 

Comment supprimer la RAT Proton?

Les développeurs de HandBrake ont également inclus des instructions de suppression pour les utilisateurs de Mac qui ont été compromis.

Suivez les instructions suivantes pour supprimer le Rat Proton de votre Mac:

Étape 1: ouvrez l'application "Terminal" et exécutez la commande suivante:

   ~/Library/LaunchAgentn/fr.handbrake.activity_agent.plist

  rm -rf ~/Library/RenderFiles/activity_agent.app


Étape 2: If ~/Library/VideoFrameworks/  comprend proton.zip, supprimez le dossier.

Étape 3: Une fois fait, vous devriez enlever toutes installations de Handbrake.app que vous trouvez.

Cependant, au lieu de vous arrêter ici, dirigez-vous sur vos paramètres et modifiez tous les mots de passe stockés dans votre système d'exploitation OS X KeyChain ou tous vos mots de passe du navigateur, comme mesure de sécurité supplémentaire.

Pendant ce temps, les utilisateurs de Mac qui ont mis à jour vers HandBrake version 1.0 ou ultérieure ne sont pas affectés par le problème, car il utilise les signatures DSA pour vérifier les fichiers téléchargés, donc la version contaminée par un virus malveillant ne passerait pas le processus de vérification DSA.

 

Source: TheHackerNews

Partager cet article

Repost 0

Commenter cet article

Juliette 12/07/2017 14:14

Merci pour ces infos !!