Breaking News

เว็บ HandBrake ถูกแฮ็ค ผู้ใช้ Mac เสี่ยงดาวน์โหลดแอพพลิเคชันฝังโทรจัน

พบการแจ้งเตือนบนเว็บบอร์ดของ HandBrake โปรแกรม Open Source ยอดนิยมสำหรับแปลงไฟล์มัลดิมีเดีย ระบุเว็บไซต์ถูกแฮ็ค หนึ่งในช่องทางดาวน์โหลดสำรอง (Mirror Site) ถูกแก้ให้ปล่อยแอพพลิเคชันที่ฝังโทรจัน Proton RAT โดยมุ่งเป้าที่ระบบปฏิบัติการ macOS ส่งผลให้ผู้ใช้หลายคนอาจติดมัลแวร์โดยไม่รู้ตัว

Mirror Site ที่ถูกแฮ็คเกอร์เข้าควบคุมคือ download.handbrake.fr โดยแฮ็คเกอร์ได้เข้าไปเปลี่ยนแอพพลิเคชัน HandBrake สำหรับ macOS ให้เป็นเวอร์ชันพิเศษที่ถูกปรับแต่งโดยแฮ็คเกอร์ โดยมีการฝัง Proton RAT ซึ่งเป็นโทรจันสำหรับเข้าควบคุมอุปกรณ์ของผู้ใช้จากระยะไกลที่เริ่มแพร่กระจายในโลกอินเทอร์เน็ตเมื่อเดือนมีนาคมที่ผ่านมา โทรจันดังกล่าวจะแอบขโมยข้อมูลของผู้ใช้ และเปิดช่องให้แฮ็คเกอร์สามารถเข้าถึงอุปกรณ์ได้ผ่านทาง VNC หรือ SSH

จากการตรวจสอบของทีม HandBrake พบว่าเว็บไซต์ถูกแฮ็คตั้งแต่วันที่ 2 พฤษภาคม 2017 เวลา 21.30 น. ตามเวลาประเทศไทย จนถึงวันที่ 6 พฤษภาคม 2017 เวลา 8.00 น. ผู้ใช้ที่ดาวน์โหลดแอพพลิเคชัน HandBrake สำหรับ macOS ในช่วง 4 วันนี้ อาจเสี่ยงดาวน์โหลดแอพพลิเคชันเวอร์ชันที่ติดมัลแวร์ไป

ทีมนักพัฒนาจาก HandBrake ระบุวิธีการตรวจสอบว่าแอพพลิเคชัน HandBrake ที่ใช้งานอยู่มี Proton RAT แฝงตัวอยู่หรือไม่ ทำโดยการเปิดโปรแกรม “Activity Monitor” บน Mac แล้วดูว่ามีโปรเซสที่ชื่อว่า “Activity_agent” รันอยู่หรือไม่ ถ้ามีแสดงว่าเครื่องติดมัลแวร์ Proton RAT เป็นที่เรียบร้อย อย่างไรก็ตาม สำหรับผู้ที่ดาวน์โหลด HandBrake เวอร์ชัน 1.0.7 นั้นไม่ต้องกังวลแต่อย่างใด เนื่องจากเวอร์ชันดังกล่าวมีการใช้ Digital Signature เพื่อยืนยันไฟล์ที่ดาวน์โหลดมา

SHA256 ของแอพพลิเคชัน HandBrake ที่ติดมัลแวร์คือ 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

สำหรับวิธีลบแอพพลิเคชัน HandBrake ที่ติดมัลแวร์ออกไปทำได้ดังนี้

  1. เปิดโปรแกรม “Terminal” แล้วรันคำสั่ง
    launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  2. ลบ Activity_agent.app โดยใช้คำสั่ง
    rm -rf ~/Library/RenderFiles/activity_agent.app
  3. ถ้า ~/Library/VideoFrameworks/ มีไฟล์ proton.zip อยู่ ให้ลบโฟลเดอร์นี้ทิ้งไปซะ
  4. ลบโปรแกรม “HandBrake.app” ออกไปจากเครื่องให้หมด

นอกจากนี้ ทีมนักพัฒนายังแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านที่เก็บไว้ใน KeyChain และบนเบราเซอร์ใหม่ทั้งหมด เนื่องจากมีความเป็นไปไดไ้ว่ารหัสผ่านเหล่านี้จะถูกแฮ็คเกอร์ขโมยไปเป็นที่เรียบร้อย

ที่มา: https://www.bleepingcomputer.com/news/security/website-of-handbrake-app-hacked-to-spread-proton-rat-for-mac-users/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Fortinet เปิดตัว FortiGate E-Series ระดับ High-end ใหม่ 3 รุ่น

Fortinet ประกาศเปิดตัว FortiGate E-Series 3 รุ่นใหม่ ได้แก่ 3300E, 2200E และ 1100E ชูจุดเด่นด้านประสิทธิภาพของ Threat Protection และ …

HP เข้าซื้อกิจการ Bromium บริษัท Startup ด้าน Endpoint Security

HP ได้ออกมาประกาศเข้าซื้อกิจการของ Bromium บริษัท Startup ผู้พัฒนาโซลูชันด้าน Endpoint Security แล้วอย่างเป็นทางการโดยไม่เปิดเผยมูลค่าการเข้าซื้อกิจการครั้งนี้