Vous avez un Mac ? Il peut avoir été infecté à votre insu par le malware Proton

publié par Laboratoires Antivirus Bitdefender, le 02 juin 2017

Une version modifiée du populaire convertisseur vidéo pour Mac HandBrake a été découverte. Les pirates ont réussi à pénétrer l'un des sites de téléchargement du développeur et à remplacer le fichier DMG d'origine par une version infectée par un cheval de Troie pour piéger les utilisateurs non avertis.

 

Dans le monde d'OS X, les convertisseurs vidéo fiables ne sont pas nombreux. Et les gratuits sont encore plus rares. Ainsi, les utilisateurs de Mac souhaitant convertir gratuitement leurs fichiers MKV, FLV et WMV dans un autre format n'ont que quelques applications à leur disposition – la plus réputée étant HandBrake.

 

Développé à l'origine par les personnes derrière le projet Transmission, HandBrake est devenu l'application de référence pour convertir des vidéos sur Mac. Un outil tellement populaire qu'il a attiré l'attention de pirates cherchant à mettre la main sur les données des utilisateurs. Ce qui s'est passé au mois de mai, lorsque l'équipe de HandBrake a été forcée de demander à ses utilisateurs de ne pas télécharger la dernière version du logiciel.

 

HandBrake transformé en cheval de Troie

Selon le message d'information de l'équipe, « si vous avez téléchargé HandBrake sur Mac entre le 2 mai 2017, 14h30 TUC et le 6 mai 2017, 11h00 TUC, vérifiez le hachage SHA1 / 256 du fichier avant de l'exécuter. Si vous l'avez installé, vérifiez que votre système n'est pas infecté par un cheval de Troie. Vous avez une chance sur deux d'être infecté si vous avez téléchargé HandBrake pendant cette période. »

 

Le cheval de Troie en question est une nouvelle variante de OSX.PROTON dénommée OSX.Proton.B. Proton est un RAT (Remote Access Trojan - Cheval de Troie autorisant un accès à distance) conçu spécialement pour attaquer les Macs. Il a été développé il y a de cela quelques mois et vendu pour une coquette somme en bitcoins (apparemment 40 BTC, soit 60 000 €) sur un site russe du darkweb.

 

Authentifié par une signature spéciale que seuls les développeurs Apple légitimes peuvent normalement obtenir, le malware peut passer outre le système de protection d'Apple « Gatekeeper ». Une fois installé, le RAT Proton peut :

  • Enregistrer les saisies au clavier
  • Envoyer et télécharger des données depuis et vers un site distant
  • Contrôler la webcam
  • Permettre à un pirate de se connecter à distance sur votre Mac
  • Afficher une boite de dialogue invitant l'utilisateur à saisir ses identifiants et mots de passe, numéros de carte de crédit, etc.
  • Accéder au compte iCloud de l'utilisateur
  • Passer outre l’identification à deux facteurs

En bref, Proton peut faire des ravages une fois installé sur votre machine.

 

Comment détecter OSX.Proton.B ?

Il existe deux manières de vérifier si vous avez eu la malchance d'installer la version piratée de HandBrake.

Méthode 1 :

Vérifiez tout d'abord la présence d'un processus « Activity_agent » dans le Moniteur d'activité. Tapez simplement Commande + Barre d’espace pour ouvrir Spotlight, saisissez Moniteur d'activité et appuyez sur Entrée. Si le processus « Activity_agent » est présent dans le Moniteur d'activité, vous êtes infecté.

Méthode 2 :

Une autre manière de diagnostiquer l'infection est de comparer la somme de contrôle DMG de HandBrake avec celles indiquées ci-dessous. Pour cela, suivez ces instructions.

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274

SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Selon l'équipe de HandBrake, si les sommes de contrôle sont identiques, vous êtes infecté.

 

Comment supprimer OSX.Proton.B

Si vous êtes infecté, il est possible de limiter les risques susmentionnés.

Ouvrez une fenêtre de Terminal, puis saisissez les commandes suivantes :

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist

rm -rf ~/Library/RenderFiles/activity_agent.app

Si l'archive proton.zip est présente dans le dossier ~/Library/VideoFrameworks/, supprimez intégralement le dossier puis retirez toutes les versions de Handbrake.app qui peuvent se trouver sur le disque de votre Mac. Téléchargez ensuite la version saine de l'application, en utilisant le miroir primaire du site officiel de HandBrake.

 

Bitdefender Antivirus for Mac détecte automatique le RAT Proton ainsi que tous les autres malwares potentiellement installés sur votre système par celui-ci. L'équipe de HandBrake recommande également aux utilisateurs infectés de modifier tous les mots de passe du Trousseau d’accès Keychain Access de OS X et ceux enregistrés dans vos navigateurs web.

 

À l'heure actuelle, toute personne installant par mégarde le fichier infecté devrait être protégée par le mécanisme Xprotect de Apple.

Laboratoires Antivirus Bitdefender

Nous protégeons vos ordinateurs, tablettes et smartphones. Parce que les menaces actuelles sont loin d’être virtuelles et sont de plus en plus virulentes, nous mettons toute notre expertise à votre service pour protéger vos informations.