Sur Mac, le logiciel HandBrake a été proposé avec un malware pendant plusieurs jours
Mais c'est un site officiel !
Le 09 mai 2017 à 09h45
4 min
Logiciel
Logiciel
Les utilisateurs du logiciel HandBrake sur Mac en ont peut-être obtenu une version frelatée s’ils l’ont installé récemment. Les développeurs avertissent qu’un fichier infecté a été placé à leur insu sur leurs serveurs de téléchargement. On peut cependant se débarrasser du malware.
HandBrake est un logiciel open source très connu dans le domaine des conversions de vidéos, qui se veut relativement simple à utiliser. Le type d’application tout-en-un et prenant l’utilisateur par la main qui a fait son succès. Mais à l’instar de ce que l’on avait pu voir avec Transmission l’année dernière, le site officiel s’est mis à distribuer pendant quelques jours une version infectée de HandBrake, avec un malware caché dans ses entrailles.
Une variante du malware OSX.PROTON
On ne sait pas exactement ce qui s’est passé, mais les serveurs de téléchargement de HandBrake ont distribué ce malware entre les 2 et 6 mai. En tenant compte de la « célébrité » du logiciel, ce sont pratiquement cinq journées entières durant lesquelles les internautes ont peut-être été infectés.
« Peut-être » parce que les développeurs indiquent qu’il y a une chance sur deux pour que la mouture téléchargée contienne le malware (selon le miroir choisi pour l’internaute). Ce dernier est une variante d’OSX.PROTON, un outil d’accès distant (RAT, pour Remote Access Tool) somme toute assez classique, avec toutes les fonctionnalités qu’on peut attendre pour les pirates : surveillance des frappes au clavier, prise de captures d’écran, vol de fichiers, exécution de commandes, accès distant, etc.
Ces actions ne sont autorisées que si l'attaquant parvient à obtenir les droits administrateurs, ce qui ne peut être donné que par le mot de passe de l’utilisateur. HandBrake n’en réclamant pas, les pirates ont glissé une fausse fenêtre demandant l’installation d’un pack de codecs. En temps normal, le logiciel n’en a pour information pas besoin.
Le malware facile à détecter et à supprimer
Heureusement pour l’utilisateur, le malware n’est pas un as du camouflage et ses techniques n’ont rien d’époustouflant… même si sa capacité de nuire est entière et qu’il peut faire de nombreux dégâts s’il parvient à s’activer.
Pour savoir si vous êtes infecté, il suffit d’ouvrir le Moniteur d’activité (Dossiers Outils dans Applications) et de vérifier si une ligne « Activity_agent » apparaît. Si c’est le cas, c’est que votre Mac est contaminé. Cela étant, vous le saviez déjà peut-être si vous vous souvenez avoir donné votre mot de passe pour une installation de codecs.
Pour supprimer le malware, il suffit d’exécuter ces commandes dans le Terminal :
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
Notez que ces commandes ne s’occupent que de l’agent résident. Il faut dans tous les cas supprimer l’application en déplaçant l’icône dans le dossier Applications vers la Corbeille (et la vider tant qu’à faire). En outre, si un fichier proton.zip se trouve dans le dossier /Library/VideoFrameworks/, il faudra également l’expédier dans les limbes.
Un type d’infection dont il est difficile de se méfier
Qui que soient les responsables de cette contamination, le vecteur choisi fonctionnera toujours pour une partie des utilisateurs. Même si HandBrake demande quelques connaissances, il est suffisamment simple pour attirer tout un chacun. Un internaute n’a a priori aucune raison de se méfier d’un site officiel.
C’est bien là tout le problème, comme le cas de Transmission l’avait prouvé l’année dernière. Le scénario était à peu près le même : une version frelatée de l’application avait été mise à disposition sur les serveurs officiels de téléchargement. Si l’utilisateur ne fait pas attention à ce qu’on lui demande, il peut aisément se faire avoir. C’est particulièrement vrai pour HandBrake : seuls ceux qui ont déjà utilisé le logiciel savent qu’il ne réclame pas le mot de passe et n’installe aucun codec.
En attendant, les développeurs indiquent qu’une enquête est en cours pour savoir ce qui s’est passé. La fonctionnalité XProtect de macOS a également été mise à jour par Apple, les nouvelles installations de cette version contaminée ne devraient donc plus être possibles.
Sur Mac, le logiciel HandBrake a été proposé avec un malware pendant plusieurs jours
-
Une variante du malware OSX.PROTON
-
Le malware facile à détecter et à supprimer
-
Un type d’infection dont il est difficile de se méfier
Commentaires (23)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/05/2017 à 09h50
Vivement l’instauration de la vérification automatique du hash et de la taille lors du téléchargement sur les navigateurs
(affichés par les dev à la main bien sûr, après la compil)
Le 09/05/2017 à 09h52
Faudra analyser comment un miroir officiel a pu être contaminé par ce type de malware.
" />
Nul doute que les devs placeront une signature de code, ou à défaut, les CRC des fichiers “originaux”…
edit : grilled
Le 09/05/2017 à 09h54
J’avais lu qu’il y avait un développeur commun aux deux projets.. mais je retrouve plus la news, grosse flemme
" />
Le 09/05/2017 à 09h56
Le 09/05/2017 à 10h00
Et tu fais comment si le hash affiché sur la page de download est le même que celui du fichier vérolé ?
(dans le genre, je te vérole le fichier mais le hash aussi)
Ton navigateur validera ton téléchargement ?
Le 09/05/2017 à 10h02
Sur cette article, ils l’indiquent à la fin, enfin, ici c’est le créateur, peut -être que c’est de lui que tu parles : HandBrake infecté par le malware PROTON : comment s’en débarrasser ? - MacG
Le 09/05/2017 à 10h03
ah ben voilà
" />
Le 09/05/2017 à 10h09
La seule vrai solution est la signature via GnuPG, sauf qu’il faut avoir déjà avoir la clé publique… Et c’est un peu le problème… Donc en gros il n’y a pas de vrai bonne solution, à moins de créer un réseau de confiance comme pour les dépôts sous Arch Linux (On a besoin de faire confiance qu’a 2 ou 3 personnes).
Le 09/05/2017 à 10h10
Le 09/05/2017 à 10h14
meuh y’a pas de virus sur mac :)
" />
Le 09/05/2017 à 10h14
Dans ce cas là il y avait deux miroirs avec deux binaires différents, donc le hash n’était probablement pas le même entre les deux, et du coup ça aurait pu alerter les utilisateurs.
Les devs pourraient renforcer la sécurité en utilisant un second serveur qui effectue un téléchargement depuis les deux miroirs et qui vérifie le hash régulièrement. Ou alors, ils pourraient protéger leur hébergement.
Le 09/05/2017 à 10h38
Le 09/05/2017 à 10h38
Le 09/05/2017 à 11h09
Sous Windows il y l’UAC qui indique si le fichier est signé avec le nom de l’éditeur indiqué. S’il n’est pas signé, il y a une alerte insistante avant exécution. Difficile de se tromper.
Pas de système similaire sous Mac ?
Le 09/05/2017 à 11h34
Mouais, il suffit de signer avec une autre signature, cela ne protège pas grand chose (qui vérifie l’éditeur ?)
Le 09/05/2017 à 11h41
Faut-il encore que l’exécutable soit signé, ce qui n’est pas systématique !
Le 09/05/2017 à 11h43
Le 09/05/2017 à 12h01
si mais à force on fait pas forcément gaffe quand ça demande le mdp admin, peut importe le système
" />
Le 09/05/2017 à 13h10
J’ai vu que ceux qui ont installé avec les dépôts Homebrew pendant l’attaque ont eu une alerte de hash mismatch.
Puis ils ont mis à jour leurs dépôts, et l’alerte a disparu.
Ça veut dire que le hash des dépôts a été changé (avec un peu de retard) pour correspondre à celui de l’image vérolée.
Donc la vérification par hash ne résoud rien si le hash est sur le même canal que l’image (ce qui est le cas la plupart du temps en téléchargement via site web ou FTP).
Le 09/05/2017 à 15h21
Ben non, il faut la clé privée pour signer le binaire. On ne parle plus de hash calculable par tout un chacun ici…
Le 09/05/2017 à 17h56
Le 09/05/2017 à 18h39
Le 09/05/2017 à 22h58