HandBrake virus per Mac usato per veicolare Proton
HandBrake virus per Mac usato per veicolare il malware Proton
Il popolarissimo software di video encoding HandBrake per Mac
è stato trasformato nei giorni scorsi in un vettore per la diffusione
di un malware capace di sottrarre le password del portachiavi
e la master password che può decifrare le password crittografate.
Sono gli stessi sviluppatori di HandBrake a darne notizia.
Nell’arco di quattro giorni, un mirror per il download di HandBrake situato in
download.handbrake.fr ha distribuito una versione del software contenente
una backdoor conosciuta come Proton
Si tratta di un malware per Mac sviluppato a livello professionale, che viene venduto a 63
mila dollari sul “Dark Web” e mette a disposizione un’ampia gamma
di funzionalità malevole come keylogging accesso remoto, capacità di catturare video e
foto dalla webcam e screenshot del monitor così come la possibilità di sottrarre file.
Una prima versione di Proton fu distribuita con una firma valida che Apple usa
per certificare i software di terze parti, con gli sviluppatori della Mela che hanno dovuto
aggiornare macOS affinché la riconoscesse automaticamente, impedendone l’installazione.
HandBrake virus per Mac usato per veicolare il malware Proton
Inoltre, Gli sviluppatori di HandBrake hanno sottolineato che due server usati per
l’app uno è compromesso, il che significa che coloro i quali hanno
scaricato HandBrake 1.0.7 nel periodo dal 2 al 6 maggio hanno una probabilità del 50%
di aver ricevuto la versione contenete il malware.
Nel momento in cui è avviato l’installer compromesso, all’utente viene richiesto
di inserire la password di amministrazione, che è caricata in testo
semplice su un server controllato dagli attaccanti.
Tuttavia, Il malware, una volta installato, invia vari file al server contenenti le password
che è possibile rintracciare sul sistema infetto.
HandBrake virus per Mac usato per veicolare il malware Proton
Vi sono due modi semplici per verificare se il sistema sia infettato da Proton:
il primo è la presenza di un processo chiamato activity_agent in Monitoraggio Attività
il secondo è la presenza di un file chiamato proton.zip nella cartella
~/Library/VideoFrameworks.
Inoltre, Una terza procedura, leggermente più complessa, può essere il controllo del
checksum SHA1 del file di installazione digitando “shasum nome_cartella/HandBrake-
1.0.7.dmg” sostituendo a nome_della cartella in cui si trova il file di installazione.
Se il risultato mostrato è 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
allora si tratta del file compromesso.
HandBrake virus per Mac usato per veicolare il malware Proton
In conclusione, HandBrake non è la prima app per Mac compromessa allo scopo di
installare malware sulle macchine di utenti ignari