Сайт популярного ПО для Mac используется для распространения RAT Proton

Сайт популярного ПО для Mac используется для распространения RAT Proton

С помощью трояна злоумышленники могут получить доступ с правами суперпользователя на Mac.

Злоумышленники скомпрометировали сервер-«зеркало» официального сайта популярного открытого видеоконвертера HandBrake для Mac и используют его для распространения трояна для удаленного доступа (Remote Access Trojan, RAT). Об этом предупредили разработчики приложения.

По данным команды, неизвестные взломали один из серверов (download.handbrake.fr), с которого пользователи загружали ПО, и заменили официальную версию HandBrake вредоносной, содержащей новый вариант печально известного RAT Proton. Вредонос был обнаружен в январе нынешнего года на одном из русских хакерских форумов. С его помощью злоумышленники могут получить доступ с правами суперпользователя на компьютерах Mac.

На инфицирование трояном указывает присутствие процесса Activity_agent в приложении «Мониторинг системы» на Mac. Вредоносная версия HandBrake использует следующие хэши:

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274

SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Разработчики уже отключили скомпрометированный сервер. По их словам, компьютеры пользователей, загрузивших HandBrake в период с 2 по 6 мая нынешнего года, с долей вероятности в 50% могут быть инфицированы трояном Proton. Проблема не затрагивает пользователей Mac, обновившихся до HandBrake 1.0 или выше, так как данные версии используют цифровую подпись DSA для проверки загруженных файлов.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!