พบการแจ้งเตือนบนเว็บบอร์ดของ HandBrake โปรแกรม Open Source ยอดนิยมสำหรับแปลงไฟล์มัลดิมีเดีย ระบุเว็บไซต์ถูกแฮ็ค หนึ่งในช่องทางดาวน์โหลดสำรอง (Mirror Site) ถูกแก้ให้ปล่อยแอพพลิเคชันที่ฝังโทรจัน Proton RAT โดยมุ่งเป้าที่ระบบปฏิบัติการ macOS ส่งผลให้ผู้ใช้หลายคนอาจติดมัลแวร์โดยไม่รู้ตัว
Mirror Site ที่ถูกแฮ็คเกอร์เข้าควบคุมคือ download.handbrake.fr โดยแฮ็คเกอร์ได้เข้าไปเปลี่ยนแอพพลิเคชัน HandBrake สำหรับ macOS ให้เป็นเวอร์ชันพิเศษที่ถูกปรับแต่งโดยแฮ็คเกอร์ โดยมีการฝัง Proton RAT ซึ่งเป็นโทรจันสำหรับเข้าควบคุมอุปกรณ์ของผู้ใช้จากระยะไกลที่เริ่มแพร่กระจายในโลกอินเทอร์เน็ตเมื่อเดือนมีนาคมที่ผ่านมา โทรจันดังกล่าวจะแอบขโมยข้อมูลของผู้ใช้ และเปิดช่องให้แฮ็คเกอร์สามารถเข้าถึงอุปกรณ์ได้ผ่านทาง VNC หรือ SSH
จากการตรวจสอบของทีม HandBrake พบว่าเว็บไซต์ถูกแฮ็คตั้งแต่วันที่ 2 พฤษภาคม 2017 เวลา 21.30 น. ตามเวลาประเทศไทย จนถึงวันที่ 6 พฤษภาคม 2017 เวลา 8.00 น. ผู้ใช้ที่ดาวน์โหลดแอพพลิเคชัน HandBrake สำหรับ macOS ในช่วง 4 วันนี้ อาจเสี่ยงดาวน์โหลดแอพพลิเคชันเวอร์ชันที่ติดมัลแวร์ไป
ทีมนักพัฒนาจาก HandBrake ระบุวิธีการตรวจสอบว่าแอพพลิเคชัน HandBrake ที่ใช้งานอยู่มี Proton RAT แฝงตัวอยู่หรือไม่ ทำโดยการเปิดโปรแกรม “Activity Monitor” บน Mac แล้วดูว่ามีโปรเซสที่ชื่อว่า “Activity_agent” รันอยู่หรือไม่ ถ้ามีแสดงว่าเครื่องติดมัลแวร์ Proton RAT เป็นที่เรียบร้อย อย่างไรก็ตาม สำหรับผู้ที่ดาวน์โหลด HandBrake เวอร์ชัน 1.0.7 นั้นไม่ต้องกังวลแต่อย่างใด เนื่องจากเวอร์ชันดังกล่าวมีการใช้ Digital Signature เพื่อยืนยันไฟล์ที่ดาวน์โหลดมา
SHA256 ของแอพพลิเคชัน HandBrake ที่ติดมัลแวร์คือ 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
สำหรับวิธีลบแอพพลิเคชัน HandBrake ที่ติดมัลแวร์ออกไปทำได้ดังนี้
- เปิดโปรแกรม “Terminal” แล้วรันคำสั่ง
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist - ลบ Activity_agent.app โดยใช้คำสั่ง
rm -rf ~/Library/RenderFiles/activity_agent.app - ถ้า ~/Library/VideoFrameworks/ มีไฟล์ proton.zip อยู่ ให้ลบโฟลเดอร์นี้ทิ้งไปซะ
- ลบโปรแกรม “HandBrake.app” ออกไปจากเครื่องให้หมด
นอกจากนี้ ทีมนักพัฒนายังแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านที่เก็บไว้ใน KeyChain และบนเบราเซอร์ใหม่ทั้งหมด เนื่องจากมีความเป็นไปไดไ้ว่ารหัสผ่านเหล่านี้จะถูกแฮ็คเกอร์ขโมยไปเป็นที่เรียบร้อย