供应链攻击击中手刹视频转换器应用程序的Mac用户
黑客为HandBrake提供了一个下载服务器,是一个流行的开源程序,用于转换视频文件,并用它来分发包含恶意软件的应用程序的麦斯卡版本。
HandBrake开发团队在星期六发布了一个安全警告,并于周六发布了一个安全警告,并提醒从5月2日至5月6日从5月2日下载并安装该程序的Mac用户来检查他们的计算机进行恶意软件。
攻击者仅损害下载下的下载镜像.HandBrake.fr,主下载服务器仍未受到影响。因此,在问题期间下载HandBrake-1.0.7.dmg的用户有一个50/50机会收到文件的恶意版本,疾病团队表示。
手刹1.0及更高版本通过程序的内置更新机制升级为1.0.7的用户应该受到影响,因为更新程序验证程序的数字签名,并且不会接受恶意文件。
版本0.10.5和早期使用内置更新程序的用户以及在五天内手动下载程序的所有用户可能会受到影响,因此他们应该检查他们的系统。
根据SYNACK的安全研究总监Patrick Wardle的分析,从受损镜像分布的手刹版本的Trojanized版本包含了一个新版本的MacOS的质子恶意软件。
Proton是自今年早些时候以来以来在网络犯罪论坛上销售的远程访问工具(RAT)。它具有通常在此类程序中找到的所有功能:键盘跳动,通过SSH或VNC远程访问,以及作为rootion,抓取网络摄像头和桌面屏幕拍摄,窃取文件等的能够执行shell命令的功能。
为了获得管理员权限,恶意手刹安装程序在安装其他视频编解码器的幌子下向受害者询问他们的密码,Watchle说。
特洛伊木马软件作为一个名为Activity_Agent.App的程序将其自身安装,并设置一个名为Fr.HandBrake.Actity_Agent.Plist的启动代理,每次用户登录时都会启动它。
Handbrake论坛公告包含手动删除说明,并建议在Mac上找到恶意软件的用户更改存储在其麦斯科斯键盘或浏览器中的所有密码。
这只是过去几年攻击者损害了软件更新或分发机制的日益增长的攻击中的最新状态。
上周微软警告软件供应链攻击,其中一组黑客损失了未命名编辑工具的软件更新基础架构,并使用它来分发恶意软件,以选择受害者:主要是来自财务和支付处理行业的组织。
“这种针对自我更新软件及其基础架构的这种通用技术在一系列高调的攻击中发挥了一部分,例如针对Altair Technologies的Evlog更新过程的无关事件,韩国软件Simdisk的自动更新机制,以及Estsoft“SAlzip压缩应用程序使用的更新服务器”,Microsoft研究人员在博客文章中表示。
这不是第一次通过此类攻击实现的Mac用户。发现从项目官方网站分发的流行传输BitTorrent客户端的MacOS版本在去年两个独立的场合包含恶意软件。
危及软件分发服务器的一种方法是从开发人员或维护软件项目维护服务器基础架构的其他用户的登录凭据。因此,当今年早些时候,安全研究人员发现了一个刺激了瞄准GitHub上存在的开源开发人员的复杂的矛网络钓鱼攻击。目标电子邮件分发了一个名为Dimnie的信息窃取程序。