Handbrake-Trojaner Proton: Entwicklerstudio Panic erstes prominentes Opfer

Die über einen kompromittierten Server der offenen Videokodier-Software Handbrake vertriebene Malware Proton hat mit dem Entwicklerstudio Panic ein erstes prominentes Opfer gefunden. Angreifer erbeuteten nach Unternehmensangaben den Quellcode mehrerer Apps.

Hohe Bitcoin-Summe als Lösegeld gefordert

So berichtet das Studio, das unter anderem den Web-Editor Coda und den FTP-Client Transmit entwickelt: Die Angreifer versuchten den Einbruch für sich zu monetarisieren, indem diese mit der Veröffentlichung der erbeuteten Software-Stücke im Falle der Zahlungsweigerung einer größeren Bitcoin-Lösegeldsumme drohten. Dies teilt Firmeninhaber Steve Frank im hauseigenen Blog mit. Eingehen will er auf die Lösegeldforderung nach eigenen Angaben jedoch nicht, auch wenn er die Echtheit der von den Angreifern zugesandten Code-Fragmente bestätigen konnte.

Für ihn sei nicht abzusehen, ob die Angreifer nun Wort halten oder weitere Forderungen stellen würden. Der erbeutete Code soll ohnehin nicht den aktuellen Stand der Entwicklung repräsentieren, zudem werde dieser jeden Tag älter. Auch eine Verwendung des Codes durch konkurrierende Entwickler sieht er gelassen entgegen, da dieser signiert ist und somit seiner Aussage nach von Panic leicht zu erkennen wäre.

Keine Kundendaten erbeutet

Dank einer guten Protokollierung der Serveraktionen scheinen den ersten Anzeichen nach die Angreifer lediglich Zugriff auf den Quelltext erhalten zu haben. Frank betont, dass nach jetzigem Kenntnisstand keine Kunden- oder Kreditkartendaten ausgelesen wurden. Letztere würden separat durch den Zahlungsdienstleister Stripe erfasst und auch bei diesem gelagert. Eine Kompromittierung des Synchronisationsdienstes sowie des eigenen Web-Servers konnte ebenfalls nicht beobachtet werden, womit bis zum jetzigen Zeitpunkt ebenfalls ausgeschlossen werden kann, dass sich der Schädling über diese Wege unbemerkt weiter verbreitet.

Bezug nur über gesicherte Quellen

Nutzer sollten jedoch wie bisher die Software ausschließlich über den Mac App Store oder direkt über den Entwickler beziehen. Nur so kann sichergestellt werden, dass es sich sowohl um den Originalcode wie um die aktuelle Software-Version ohne Schädling handelt. Weiter teilte Frank mit, dass Apple bereits informiert wäre und auch das FBI seine Ermittlungen aufgenommen habe.

Manipulierte Handbrake-Version als Verursacher

Ermöglicht wurde der Angriff durch eine mit der Malware Proton infizierte Version des Videotools Handbrake, die zwischen dem 2. und 6. Mai über einen gehackten Mirror-Server der Mac-Version verteilt wurde. Steve Frank selbst war es dann, der die Software in diesem Zeitraum heruntergeladen und auf seinen Arbeitsrechner installiert hatte. Proton, das es vor allem auf die im macOS-Schlüsselbund zentral abgelegten Zugangsdaten sowie zentralen Passwortdatenbanken abgesehen hat, gelangte anschließend an den Zugang für die Versionsverwaltung Git und somit an den genannten Quellcode.