HandBrake virus per Mac usato per veicolare il malware Proton

HandBrake virus per Mac usato per veicolare il malware Proton

Il popolarissimo software di video encoding HandBrake per Mac

è stato trasformato nei giorni scorsi in un vettore per la diffusione

di un malware capace di sottrarre le password del portachiavi

e la master password che può decifrare le password crittografate.

Sono gli stessi sviluppatori di HandBrake a darne notizia.

Nell’arco di quattro giorni, dal 2 al 6 maggio

un mirror per il download di HandBrake situato in download.handbrake.fr

ha distribuito una versione del software contenente una backdoor conosciuta come Proton

Si tratta di un malware per Mac sviluppato a livello professionale, che viene venduto a 63

mila dollari sul “lato oscuro” del web e mette a disposizione un’ampia gamma

di funzionalità malevole come keylogging

accesso remoto, capacità di catturare video e foto dalla webcam e screenshot del monitor

così come la possibilità di sottrarre file.

Una prima versione di Proton fu distribuita con una firma valida che Apple usa

per certificare i software di terze parti, con gli sviluppatori della Mela che hanno dovuto

aggiornare macOS affinché la riconoscesse automaticamente, impedendone l’installazione.

HandBrake virus per Mac usato per veicolare il malware Proton

HandBrake virus per Mac usato per veicolare il malware Proton

Gli sviluppatori di HandBrake hanno sottolineato che dei due server usati per distribuire

l’app solamente uno è compromesso, il che significa che coloro i quali hanno

scaricato HandBrake 1.0.7 nel periodo dal 2 al 6 maggio hanno una probabilità del 50%

di aver ricevuto la versione contenete il malware.

Nel momento in cui viene avviato l’installer compromesso, all’utente viene richiesto

di inserire la password di amminsitrazione, che viene caricata in testo

semplice su un server controllato dagli attaccanti.

Il malware, una volta installato, invia vari file al server contenenti le password

che è possibile rintracciare sul sistema infetto.

 

HandBrake virus per Mac usato per veicolare il malware Proton

Vi sono due modi semplici per verificare se il sistema sia infettato da Proton:

il primo è la presenza di un processo chiamato activity_agent in Monitoraggio Attività

il secondo è la presenza di un file chiamato proton.zip nella cartella

~/Library/VideoFrameworks.

Una terza procedura, leggermente più complessa, può essere il controllo del checksum

SHA1 del file di installazione digitando “shasum nome_cartella/HandBrake-1.0.7.dmg”

sostituendo a nome_cartella la cartella in cui si trova il file di installazione.

Se il risultato mostrato è 0935a43ca90c6c419a49e4f8f1d75e68cd70b274

allora si tratta del file compromesso.

 

HandBrake virus per Mac usato per veicolare il malware Proton

Nel caso si riscontrasse la presenza del malware, è opportuno correre immediatamente

ai ripari: prima cosa da fare è sbarazzarsi dell’installer compromesso e per maggior

sicurezza eliminare anche HandBrake sostituendolo con una nuova versione “sana”.

In secondo luogo bisogna rimuovere i file fr.handbrake.activity_agent.plist e

activity_agent.app nella cartella ~/Library/RenderFiles e riavviare la macchina.

Una volta fatto ciò il sistema è ripulito, e a questo punto è imperativo

cambiare tutte le password.

 

HandBrake virus per Mac usato per veicolare il malware Proton

HandBrake non è la prima app per Mac compromessa allo scopo di installare malware sulle

macchine di utenti ignari: lo scorso anno l’applicazione Transmission, un client BitTorrent

era sfruttata in una maniera simile per distribuire una delle prime incarnazioni di

ransomware dedicato ai sistemi Mac

conosciuto con il nome di Keydnap.

E tra le due app c’è una piccola ma significativa attinenza: entrambi i programmi sono stati

sviluppati originariamente da Eric Petit.

Probabilmente è solo una semplice coincidenza, ma sicuramente piuttosto curiosa.

AMCOMPUTERS

[Voti: 1   Media: 5/5]

Lascia un commento