Handbrake เป็น Open Source สำหรับการแปลงไฟล์ที่ได้รับความนิยมค่อนข้างมาก ทีนี้เกิดเหตุไม่คาดฝัน website ของ Handbrake ถูกแฮ็ค แถมไฟล์โปแกรมของ Mac ก็ถูกฝัง Proton RAT ซึ่งเป็น Malware ชนิดควบคุม user จากระยะไกลฝังเข้าไปด้วย ทำให้มีความเป็นไปได้ที่ผู้ใช้งาน application ตัวนี้จะถูกฝัง RAT เข้าไปในเครื่องโดยไม่รู้ตัว
จากที่ใน forum ของ Handbrake มีการแจ้งเตือนว่ามี Attacker นิรนามได้ทำการยึดเครื่องที่เป็นเว็บไซด์ download.handbrake.fr ซึ่งเป็นเว็บไซด์สำรอง (mirror) สำหรับการดาวโหลด Handbrake และพบอีกว่า Hacker ดังกล่าวได้ทำการแทนที่ Handbrake version MacOS ด้วย Handbrake version MacOS ที่ Hacker ได้ฝัง Proton RAT เอาไว้ด้วย โดย Proton RAT ได้ถูกพบมาตั้งแต่ช่วงมีนาคมที่ผ่านมา โดย RAT ตัวนี้จะขโมยข้อมูลต่างๆของเครื่องกลับไปให้ C&C Server ของ Hacker อีกทั้งยังทำให้ Hacker สามารถ VNC หรือ SSH กลับมายังเครื่องของเหยื่อได้อีกด้วย
จากการตรวจสอบของทีมงานพบว่า website mirror download ดังกล่าวได้ถูกยึดตั้งแต่วันที่ May 2, 2017, 14:30 UTC จนถึง May 6, 2017, 1:00 UTC หากใครที่ download HandBrake for Mac 1.0.7 อาจจะ download version ที่ถูกดัดแปลงไป โดยวิธีการสังเกตว่าติดตั้ง Handbrake version ที่ถูกดัดแปลงหรือไม่ โดยดูจาก OSX Activity Monitor application ซึ่งเป็น Application ที่แสดงถึง process ทั้งหมดในเครื่อง โดยหากพบ “Activity_agent” อยู่แสดงว่าถูก malware ไปเสียแล้วนั่นเองครับ
วิธีการเอา malware ออกสามารถทำได้ดังนี้
Step 1: เปิด “Terminal” ขึ้นมาแล้วใช้คำสั่ง
|
1 |
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist |
Step 2: จากนั้นลบ activity_agent.app โดยใช้คำสั่ง
|
1 |
rm -rf ~/Library/RenderFiles/activity_agent.app |
Step 3: หากพบว่าใน ~/Library/VideoFrameworks/ มี proton.zip, ให้ทำการลบ folder นี้ทิ้งด้วย
Step 4: ลบ “HandBrake.app” ใดๆที่ถูกติดตั้งในเครื่อง
Source::
You May also Like
LINE@Techsuii.com
