HandBrake come vettore di trojan su Mac

La versione per OSX del famoso software FOSS di conversione video è stata infettata da una variante del RAT Proton. Un malintenzionato potrebbe avere accesso completo alla macchina
La versione per OSX del famoso software FOSS di conversione video è stata infettata da una variante del RAT Proton. Un malintenzionato potrebbe avere accesso completo alla macchina

Problemi seri per gli utilizzatori di HandBrake per Mac . Il tool di conversione video open source è stato infettato da un trojan che potrebbe aver compromesso gli utenti che hanno scaricato il programma tra le 14:30 UTC del 2 maggio e le 11:00 UTC del 6 maggio attraverso il mirror download.handbrake.fr (successivamente messo offline). L’infezione è stata causata da un attacco ai server che ospitano il software. L’incidente è stato comunicato sabato sul forum ufficiale di HandBrake.

handbrake

Chi ha scaricato il programma nelle date e nella fascia oraria indicata ha una probabilità su due di essere stato colpito dall’infezione. Per capire se c’è stato o meno il contagio è sufficiente verificare se tra i processi attivi in OSX ce n’è uno chiamato Activity_agent . Sicuramente l’infezione ha riguardato le installazioni di HandBrake.dmg con checksum SHA1 : 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 e SHA256 : 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793 .

Il metodo più semplice per rimuovere l’infezione consiste nell’aprire l’applicazione Terminale del Mac ed eseguire i seguenti comandi:

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app

Se la cartella ~/Library/VideoFrameworks/ contiene il file proton.zip , occorre rimuoverla.

Effettuata questa procedura non rimane altro da fare che accertarsi di rimuovere qualsiasi HandBrake.app presente nel proprio sistema operativo. Per ulteriore premura è bene cancellare e sostituire anche le password conservate nel browser. Il trojan è infatti una variante di OSX.PROTON , in grado di far breccia nei sistemi Mac offrendo ai malintenzionati l’accesso al sistema con accessi privilegiati e offrendo la possibilità di rubare dati connettendosi anche attraverso VNC o SSH.

A febbraio Apple aveva aggiornato il suo software di sicurezza XProtect per prevenire attacchi causati dalla prima versione del malware. Ma già dal mese di marzo ha iniziato a diffondersi il nuovo RAT (Remote Access Tool) proveniente probabilmente dagli ambienti hacker russi , in grado di bypassare i controlli di sicurezza di Apple. Si tratta dell’ennesimo caso di malware per Mac embeddato in programmi free scaricabili dal Web (si ricordi ad esempio Eleanor ). In questo caso gli utenti Windows sono indenni all’attacco .

HandBrake sta intanto ripristinando i server affetti dall’attacco. Al fine di evitare ulteriori contagi, il team consiglia di effettuare sempre il download del software attraverso il suo sito ufficiale ed effettuare un controllo del checksum attraverso un confronto puntuale con quelli contenuti nella pagina dedicata .

Mirko Zago

fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

08 05 2017
Link copiato negli appunti