Сайт популярного ПО для Mac используется для распространения RAT Proton

Злоумышленники скомпрометировали сервер-«зеркало» официального сайта популярного открытого видеоконвертера HandBrake для Mac и используют его для распространения трояна для удаленного доступа (Remote Access Trojan, RAT). Об этом предупредили разработчики приложения.

По данным команды, неизвестные взломали один из серверов (download.handbrake.fr), с которого пользователи загружали ПО, и заменили официальную версию HandBrake вредоносной, содержащей новый вариант печально известного RAT Proton. Вредонос был обнаружен в январе нынешнего года на одном из русских хакерских форумов. С его помощью злоумышленники могут получить доступ с правами суперпользователя на компьютерах Mac.

На инфицирование трояном указывает присутствие процесса Activity_agent в приложении «Мониторинг системы» на Mac. Вредоносная версия HandBrake использует следующие хэши:

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274

SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Разработчики уже отключили скомпрометированный сервер. По их словам, компьютеры пользователей, загрузивших HandBrake в период с 2 по 6 мая нынешнего года, с долей вероятности в 50% могут быть инфицированы трояном Proton. Проблема не затрагивает пользователей Mac, обновившихся до HandBrake 1.0 или выше, так как данные версии используют цифровую подпись DSA для проверки загруженных файлов.