Handbrake: Populärer DVD-Ripper für Macs mit Trojaner unterwandert

9. Mai 2017, 11:37
39 Postings

Download-Server war vier Tage lang kompromittiert – Malware Proton spionierte unter anderem Passwörter aus

Schlechte Nachrichten für all jene, die sich in den letzten Tagen, den DVD-RIpper Handbrake installiert haben: Unbekannte Angreifer haben vergangene Woche einen der Download-Server der populären Mac-Software übernommen. Infolge wurde vier Tage lange eine mit einem Backdoor versehene Variante von Handbrake ausgeliefert, deren einzige Aufgabe es ist, sensible Daten auszuspionieren.

Warnung

Bei der genutzten Malware handelt es sich um eine neue Version des Trojaners Proton, die bislang von keinem Antivirenscanner aufgespürt wurde. Einmal installiert, greift sie sämtliche Passwörter aus der macOS-Keychain ab und schickt sie an die Angreifer. Auch 1Password und andere Browser-basierte Passwort-Manager sind vor Proton nicht sicher, wie Malwarebytes warnt.

Aufgeflogen war die Angelegenheit nachdem aufmerksame User bemerkt hatten, dass Handbrake plötzlich beim Start nach dem Administrator-Passwort verlangt. Diesen Schritt nimmt die Malware vor, um uneingeschränkten Zugriff zu bekommen. Danach funktioniert der DVD-Ripper zwar problemlos, Proton ist im Hintergrund aber ebenfalls aktiv.

Chancen

Laut den Entwicklern von Handbrake ist der Rechner, der die gehackte Variante der Software ausgeliefert hat, einer von zwei Download-Servern. Insofern bestand zwischen dem 2. und 6. Mai also eine 50:50-Chance sich beim Herunterladen die infizierte Version einzufangen. Zudem könnten aber auch User betroffen sein, die in dem Zeitraum ein Update durchgeführt haben, da Handbrake-Versionen bis Version 0.10.5 keinerlei Überprüfung der Download-Signatur vornimmt.

Maßnahmen

In einem Foreneintrag geben die Entwickler von Handbrake Tipps, wie User herausfinden können, ob sie betroffen sind. So lässt sich etwa über die SHA1 / SHA256 der heruntergeladenen DMG-Datei feststellen, ob es sich dabei um eine mit Proton infizierte Version handelt oder nicht. Sollte sich Herausstellen, dass man die Malware auf dem Rechner hat, geben die Entwickler auch Tipps zur Entfernung. Zudem rät man sämtliche in der Keychain oder anderen Passwort-Managern gespeicherten Passwörter umgehend zu ändern.

Spurensuche

Durchaus interessant ist aber auch ein weiteres Detail der Attacke: Gab es einen ähnlichen Angriff doch bereits vor einiger Zeit gegen den Bittorrent-Client Transmission. Dies ist deswegen spannend, da dieser ursprünglich vom gleichen Programmierer entwickelt wurde, der auch für Handbrake verantwortlich zeichnet. (apo, 9.5.2017)

  • Die infizierte Version von Handbrake fragt nach Admin-Berechtigungen.
    screenshot. malwarebytes

    Die infizierte Version von Handbrake fragt nach Admin-Berechtigungen.

Share if you care.