2017年5月上旬からトランスコーダHandBrakeのサーバーがハッキングされ、トロイの木馬が同梱された「HandBrake for Mac」が公開されていたとして開発チームが注意を呼びかけています。詳細は以下から。
オープンソース&クロスプラットフォーム対応の動画トランスコーダアプリ「HandBrake(関連記事)」シリーズを開発しているフランスのThe HandBrake Teamは現地時間2017年05月06日、Mac版HandBrakeを公開しているミラーサーバーがハッキングの被害に遭い、トロイの木馬が同梱された「HandBrake for Mac v1.0.7」が5月上旬より公開されていたとしてユーザーに以下のことを確認するように呼びかけています。
SECURITY WARNING
Anyone who has downloaded HandBrake on Mac between [02/May/2017 14:30 UTC] and [06/May/2017 11:00 UTC] needs to verify the SHA1 / 256 sum of the file before running it.
Anyone who has installed HandBrake for Mac needs to verify their system is not infected with a Trojan. You have 50/50 chance if you’ve downloaded HandBrake during this period.Mirror Download Server Compromised – HandBrake
トロイの木馬の特定方法
HandBrakeチームは既にこのトロイの木馬を特定しているそうで、Macの[アプリケーション]フォルダ → [ユーティリティ]フォルダに在るアクティビティモニタアプリを起動し、”Activity_agent”を検索し、もしこのプロセスが起動していた場合、トロイの木馬に感染しているそうで、
If you see a process called “Activity_agent” in the OSX Activity Monitor application. You are infected.
Mirror Download Server Compromised – HandBrake
感染を確認した場合、以下のコマンドをターミナルに入力しトロイの木馬を削除して欲しいとコメントしています。
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist rm -rf ~/Library/RenderFiles/activity_agent.app if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
感染したHandBrake for Mac
また、HandBrakeのミラーサーバーがハッキングされていた期間はUTC 2017年05月02日 14時30分から05月06日 11時までで、その期間にHandBrakeをダウンロードしたユーザーに対しては以下SHA1/SHA256の”HandBrake.dmg”がトロイの木馬を同梱しているとして削除するように求めています。
トロイの木馬を同梱したHandBrake v1.0.7のchecksum
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
正しいHandBrake v1.0.7のchecksum
正しいSHA1/SHA256は以下の通りで、詳しくはGitHubを参照してください。
SHA1: 6d2e5158f101dad94ede3d5cf5fda8fe9fd3c3b9 SHA256: 3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2
同梱されていたトロイの木馬
同梱されていたトロイの木馬は”OSX.PROTON“の新しい亜種で、HandBrakeチームは既にAppleにこの亜種を報告し、AppleはXProtectをアップデートするようです。
- Mirror Download Server Compromised – HandBrake