黑客破坏了手刹,转换视频文件的流行的开放源代码程序的下载服务器,并用它来分发包含恶意软件的应用程序与MacOS版本。
手刹开发团队发布了安全警告上周六该项目的网站和论坛的支持,提醒谁下载并从5月2安装程序5月6日,以检查他们的电脑是否存在恶意软件的Mac用户。
妥协只是一个下载镜像袭击者下download.handbrake.fr主办,与主下载服务器剩余不受影响。正因为如此,谁在有关期间下载的手刹,1.0.7.dmg用户有一个50/50的机会已经收到该文件的恶意版本,在HandBreak队说。
谁通过程序内置的更新机制应该不会受到影响,因为更新验证程序的数字签名升级到1.0.7版本,并不会手刹1.0的用户,后来接受了恶意文件。
的0.10.5版本的用户和早期谁使用内置的更新和期间的五天谁手动下载的程序,所有用户可能会受到影响,所以他们应该检查他们的系统。
根据一个分析由帕特里克·沃德尔,在SYNACK安全研究主任,从受感染的镜分布手刹的木马版本包含的恶意软件腾为MacOS的新版本。
腾是今年年初以来关于网络犯罪的论坛销售的远程访问工具(RAT)。它拥有所有的通常在这样的程序中发现的特点:键盘记录,通过SSH或VNC远程访问和执行shell命令为根,抢摄像头和桌面截屏的能力,盗取文件等等。
为了获得管理员权限,恶意手刹安装程序询问受害者安装额外的视频编解码器的幌子下自己的密码,沃德尔说。
该木马软件本身安装一个程序调用activity_agent.app并建立启动代理调用fr.handbrake.activity_agent.plist每次都在启动用户登录。
手刹论坛公告包含手动删除指导和建议谁找到他们的Mac恶意软件的用户更改所有存储在其Mac系统钥匙扣或浏览器的密码。
这仅仅是在过去的几年中,攻击者妥协软件更新或分发机制的攻击越来越多串最新的。
上周,微软警告说,软件供应链攻击,其中一组黑客泄露一位不愿透露姓名的编辑工具的软件更新基础设施并用它来传播恶意软件来选择受害者:主要来自金融和支付处理行业的机构。
"This generic technique of targeting self-updating software and their infrastructure has played a part in a series of high-profile attacks, such as unrelated incidents targeting Altair Technologies’ EvLog update process, the auto-update mechanism for South Korean software SimDisk, and the update server used by ESTsoft's ALZip compression application," the Microsoft researchers said in a博客文章。
这是不是第一次Mac用户已经通过这种攻击的目标无论是。从项目分布在流行传播的BitTorrent客户端的MacOS的版本的官方网站被发现含有恶意软件去年两个不同的场合。
妥协软件分发服务器的一种方法是从谁维护软件项目的服务器基础设施的开发或其他用户窃取登录凭据。因此,这一点也不奇怪,当今年早些时候,安全研究人员检测到一个复杂的矛钓鱼攻击在GitHub靶向开源开发本。有针对性的电子邮件分发称为Dimnie的信息窃取程序。