Sur Mac, le logiciel HandBrake a été proposé avec un malware pendant plusieurs jours

Sur Mac, le logiciel HandBrake a été proposé avec un malware pendant plusieurs jours

Mais c'est un site officiel !

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

09/05/2017 4 minutes
23

Sur Mac, le logiciel HandBrake a été proposé avec un malware pendant plusieurs jours

Les utilisateurs du logiciel HandBrake sur Mac en ont peut-être obtenu une version frelatée s’ils l’ont installé récemment. Les développeurs avertissent qu’un fichier infecté a été placé à leur insu sur leurs serveurs de téléchargement. On peut cependant se débarrasser du malware.

HandBrake est un logiciel open source très connu dans le domaine des conversions de vidéos, qui se veut relativement simple à utiliser. Le type d’application tout-en-un et prenant l’utilisateur par la main qui a fait son succès. Mais à l’instar de ce que l’on avait pu voir avec Transmission l’année dernière, le site officiel s’est mis à distribuer pendant quelques jours une version infectée de HandBrake, avec un malware caché dans ses entrailles.

Une variante du malware OSX.PROTON

On ne sait pas exactement ce qui s’est passé, mais les serveurs de téléchargement de HandBrake ont distribué ce malware entre les 2 et 6 mai. En tenant compte de la « célébrité » du logiciel, ce sont pratiquement cinq journées entières durant lesquelles les internautes ont peut-être été infectés.

« Peut-être » parce que les développeurs indiquent qu’il y a une chance sur deux pour que la mouture téléchargée contienne le malware (selon le miroir choisi pour l’internaute). Ce dernier est une variante d’OSX.PROTON, un outil d’accès distant (RAT, pour Remote Access Tool) somme toute assez classique, avec toutes les fonctionnalités qu’on peut attendre pour les pirates : surveillance des frappes au clavier, prise de captures d’écran, vol de fichiers, exécution de commandes, accès distant, etc.

Ces actions ne sont autorisées que si l'attaquant parvient à obtenir les droits administrateurs, ce qui ne peut être donné que par le mot de passe de l’utilisateur. HandBrake n’en réclamant pas, les pirates ont glissé une fausse fenêtre demandant l’installation d’un pack de codecs. En temps normal, le logiciel n’en a pour information pas besoin.

Le malware facile à détecter et à supprimer

Heureusement pour l’utilisateur, le malware n’est pas un as du camouflage et ses techniques n’ont rien d’époustouflant… même si sa capacité de nuire est entière et qu’il peut faire de nombreux dégâts s’il parvient à s’activer.

Pour savoir si vous êtes infecté, il suffit d’ouvrir le Moniteur d’activité (Dossiers Outils dans Applications) et de vérifier si une ligne « Activity_agent » apparaît. Si c’est le cas, c’est que votre Mac est contaminé. Cela étant, vous le saviez déjà peut-être si vous vous souvenez avoir donné votre mot de passe pour une installation de codecs.

Pour supprimer le malware, il suffit d’exécuter ces commandes dans le Terminal :

  1. launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  2. rm -rf ~/Library/RenderFiles/activity_agent.app

Notez que ces commandes ne s’occupent que de l’agent résident. Il faut dans tous les cas supprimer l’application en déplaçant l’icône dans le dossier Applications vers la Corbeille (et la vider tant qu’à faire). En outre, si un fichier proton.zip se trouve dans le dossier /Library/VideoFrameworks/, il faudra également l’expédier dans les limbes.

Un type d’infection dont il est difficile de se méfier

Qui que soient les responsables de cette contamination, le vecteur choisi fonctionnera toujours pour une partie des utilisateurs. Même si HandBrake demande quelques connaissances, il est suffisamment simple pour attirer tout un chacun. Un internaute n’a a priori aucune raison de se méfier d’un site officiel.

C’est bien là tout le problème, comme le cas de Transmission l’avait prouvé l’année dernière. Le scénario était à peu près le même : une version frelatée de l’application avait été mise à disposition sur les serveurs officiels de téléchargement. Si l’utilisateur ne fait pas attention à ce qu’on lui demande, il peut aisément se faire avoir. C’est particulièrement vrai pour HandBrake : seuls ceux qui ont déjà utilisé le logiciel savent qu’il ne réclame pas le mot de passe et n’installe aucun codec.

En attendant, les développeurs indiquent qu’une enquête est en cours pour savoir ce qui s’est passé. La fonctionnalité XProtect de macOS a également été mise à jour par Apple, les nouvelles installations de cette version contaminée ne devraient donc plus être possibles. 

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une variante du malware OSX.PROTON

Le malware facile à détecter et à supprimer

Un type d’infection dont il est difficile de se méfier

Commentaires (23)


Vivement l’instauration de la vérification automatique du hash et de la taille lors du téléchargement sur les navigateurs

(affichés par les dev à la main bien sûr, après la compil)


Faudra analyser comment un miroir officiel a pu être contaminé par ce type de malware.

Nul doute que les devs placeront une signature de code, ou à défaut, les CRC des fichiers “originaux”… <img data-src=" />



edit : grilled


J’avais lu qu’il y avait un développeur commun aux deux projets.. mais je retrouve plus la news, grosse flemme <img data-src=" />








jackjack2 a écrit :



Vivement l’instauration de la vérification automatique du hash et de la taille lors du téléchargement sur les navigateurs





+1 <img data-src=" />



Et tu fais comment si le hash affiché sur la page de download est le même que celui du fichier vérolé ?

(dans le genre, je te vérole le fichier mais le hash aussi)



Ton navigateur validera ton téléchargement ?


Sur cette article, ils l’indiquent à la fin, enfin, ici c’est le créateur, peut -être que c’est de lui que tu parles : HandBrake infecté par le malware PROTON : comment s’en débarrasser ? - MacG


ah ben voilà <img data-src=" />


La seule vrai solution est la signature via GnuPG, sauf qu’il faut avoir déjà avoir la clé publique… Et c’est un peu le problème… Donc en gros il n’y a pas de vrai bonne solution, à moins de créer un réseau de confiance comme pour les dépôts sous Arch Linux (On a besoin de faire confiance qu’a 2 ou 3 personnes).








jackjack2 a écrit :



Vivement l’instauration de la vérification automatique du hash et de la taille lors du téléchargement sur les navigateurs

(affichés par les dev à la main bien sûr, après la compil)





Si le binaire est corrompu, le md5 le sera aussi :/



meuh y’a pas de virus sur mac :) <img data-src=" />


Dans ce cas là il y avait deux miroirs avec deux binaires différents, donc le hash n’était probablement pas le même entre les deux, et du coup ça aurait pu alerter les utilisateurs.



Les devs pourraient renforcer la sécurité en utilisant un second serveur qui effectue un téléchargement depuis les deux miroirs et qui vérifie le hash régulièrement. Ou alors, ils pourraient protéger leur hébergement.








darkbeast a écrit :



meuh y’a pas de virus sur mac :) <img data-src=" />



&nbsp;



+1 Ca sent la fake news <img data-src=" />&nbsp;









adrenalinedj a écrit :



Et tu fais comment si le hash affiché sur la page de download est le même que celui du fichier vérolé ?

(dans le genre, je te vérole le fichier mais le hash aussi)



Ton navigateur validera ton téléchargement ?





Oui il valide, mais il valide déjà actuellement de toute façon

Ca aiderait les cas où le pirate a pu changer le binaire mais pas la page web bien sûr

C’est déjà mieux que rien hein

(et ça aiderait la vérification de fichiers corrompus aussi en bonus)



Je suis plutôt partisan des solutions pas chères et facultatives (c’est au dev de choisir) qui aident parfois, plutôt que d’attendre des années d’avoir la solution parfaite (dizaines d’années dans ce cas)











Whinette a écrit :



Si le binaire est corrompu, le md5 le sera aussi :/





Non, j’ai édité justement pour ça : “(affichés par les dev à la main bien sûr, après la compil)”

Donc le dev compile, chope le md5 et change la page web

Sinon bien sûr que ça sert à rien <img data-src=" />



Sous Windows il y l’UAC qui indique si le fichier est signé avec le nom de l’éditeur indiqué. S’il n’est pas signé, il y a une alerte insistante avant exécution. Difficile de se tromper.



Pas de système similaire sous Mac ?


Mouais, il suffit de signer avec une autre signature, cela ne protège pas grand chose (qui vérifie l’éditeur ?)


Faut-il encore que l’exécutable soit signé, ce qui n’est pas systématique !








domFreedom a écrit :



Faudra analyser comment un miroir officiel a pu être contaminé par ce type de malware.

Nul doute que les devs placeront une signature de code, ou à défaut, les CRC des fichiers “originaux”… <img data-src=" />



edit : grilled







Si les mecs ont accès au dépot pour coller un fichier moisi, ils peuvent changer le fichier de signature aussi…



si mais à force on fait pas forcément gaffe quand ça demande le mdp admin, peut importe le système <img data-src=" />


J’ai vu que ceux qui ont installé avec les dépôts Homebrew pendant l’attaque ont eu une alerte de hash mismatch.

Puis ils ont mis à jour leurs dépôts, et l’alerte a disparu.

Ça veut dire que le hash des dépôts a été changé (avec un peu de retard) pour correspondre à celui de l’image vérolée.

Donc la vérification par hash ne résoud rien si le hash est sur le même canal que l’image (ce qui est le cas la plupart du temps en téléchargement via site web ou FTP).


Ben non, il faut la clé privée pour signer le binaire. On ne parle plus de hash calculable par tout un chacun ici…








jackjack2 a écrit :



Vivement l’instauration de la vérification automatique du hash et de la taille lors du téléchargement sur les navigateurs

(affichés par les dev à la main bien sûr, après la compil)





Synaptic, c’est mieux. <img data-src=" />









darkbeast a écrit :



meuh y’a pas de virus sur mac :) <img data-src=" />







<img data-src=" />



Elle est bonne … nan franchement elle est bonne … <img data-src=" />









choukky a écrit :



Synaptic, c’est mieux. <img data-src=" />





Tu veux dire Apt? <img data-src=" />