HandBrake come vettore di trojan su Mac

La versione per OSX del famoso software FOSS di conversione video è stata infettata da una variante del RAT Proton. Un malintenzionato potrebbe avere accesso completo alla macchina

Roma – Problemi seri per gli utilizzatori di HandBrake per Mac . Il tool di conversione video open source è stato infettato da un trojan che potrebbe aver compromesso gli utenti che hanno scaricato il programma tra le 14:30 UTC del 2 maggio e le 11:00 UTC del 6 maggio attraverso il mirror download.handbrake.fr (successivamente messo offline). L’infezione è stata causata da un attacco ai server che ospitano il software. L’incidente è stato comunicato sabato sul forum ufficiale di HandBrake.

handbrake

Chi ha scaricato il programma nelle date e nella fascia oraria indicata ha una probabilità su due di essere stato colpito dall’infezione. Per capire se c’è stato o meno il contagio è sufficiente verificare se tra i processi attivi in OSX ce n’è uno chiamato Activity_agent . Sicuramente l’infezione ha riguardato le installazioni di HandBrake.dmg con checksum SHA1 : 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 e SHA256 : 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793 .

Il metodo più semplice per rimuovere l’infezione consiste nell’aprire l’applicazione Terminale del Mac ed eseguire i seguenti comandi:

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app

Se la cartella ~/Library/VideoFrameworks/ contiene il file proton.zip , occorre rimuoverla.

Effettuata questa procedura non rimane altro da fare che accertarsi di rimuovere qualsiasi HandBrake.app presente nel proprio sistema operativo. Per ulteriore premura è bene cancellare e sostituire anche le password conservate nel browser. Il trojan è infatti una variante di OSX.PROTON , in grado di far breccia nei sistemi Mac offrendo ai malintenzionati l’accesso al sistema con accessi privilegiati e offrendo la possibilità di rubare dati connettendosi anche attraverso VNC o SSH.

A febbraio Apple aveva aggiornato il suo software di sicurezza XProtect per prevenire attacchi causati dalla prima versione del malware. Ma già dal mese di marzo ha iniziato a diffondersi il nuovo RAT (Remote Access Tool) proveniente probabilmente dagli ambienti hacker russi , in grado di bypassare i controlli di sicurezza di Apple. Si tratta dell’ennesimo caso di malware per Mac embeddato in programmi free scaricabili dal Web (si ricordi ad esempio Eleanor ). In questo caso gli utenti Windows sono indenni all’attacco .

HandBrake sta intanto ripristinando i server affetti dall’attacco. Al fine di evitare ulteriori contagi, il team consiglia di effettuare sempre il download del software attraverso il suo sito ufficiale ed effettuare un controllo del checksum attraverso un confronto puntuale con quelli contenuti nella pagina dedicata .

Mirko Zago

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • yasmina scrive:
    Ciao
    Buongiorno, lo scusate per questo messaggio imprevisto, ma occorre che testimonio: Se ho trovato il sorriso è grazie a signore al nome FAYE che ho ricevuto un prestito di 170000 ad un tasso di 3% per il mio progetto e due dei miei colleghi hanno anche ricevuto prestiti di questo signore senza alcuna difficoltà. Vi consiglio più non di fuorviarsi di nessuno.Se volete effettivamente fare una domanda di prestito di denaro per il vostro progetto e qualsiasi altro. Pubblico questo messaggio perché questo signore mi ha fatto bene con questo prestito. È tramite un amico che ho incontrato questo signore onesto e generoso che mi ha permesso di ottenere questo prestito. Allora vi consiglio di contattarla e li soddisfarà per tutti i servizi che gli chiederete. il suo smalto: jeanlucfaye50@gmail.com
  • Davide scrive:
    wscript.exe
    wscript.exe di Microsoft non interpreta ed esegue JavaScript, solo JScript che non è lo stesso dialetto.
    • ... scrive:
      Re: wscript.exe
      Ma quale DIALETTO, XXXXXXXX. Implementazione, non "dialetto", ma di che XXXXX parli. Non sai un XXXXX e parli, XXXXXXXXX.
  • ... scrive:
    spear fishing?
    che XXXXXXX e'? ma parlare italiano, mai?
  • Davide scrive:
    Da quando esiste un interprete...
    JavaScript su sistemi Microsoft? Forse si confondono con JScript, una schifezza di scripting interpretata da wscript.exe.
    • ... scrive:
      Re: Da quando esiste un interprete...
      Ma cosa XXXXX stai dicendo?As explained by JavaScript guru Douglas Crockford in his talk titled The JavaScript Programming Language on YUI Theater, [Microsoft] did not want to deal with Sun Microsystems about the trademark issue, and so they called their implementation JScript. A lot of people think that JScript and JavaScript are different but similar languages. That's not the case. They are just different names for the same language, and the reason the names are different was to get around trademark issues. [5]Forse sarebbe meglio informarsi prima di scrivere cacate.
      • Davide scrive:
        Re: Da quando esiste un interprete...
        - Scritto da: ...

        Forse sarebbe meglio informarsi prima di scrivere
        cacate.Appunto, idiota XXXXXXXXXXXXXX vai a studiare: https://it.wikipedia.org/wiki/JScript
Chiudi i commenti