HandBrake per Mac usato per veicolare il malware Proton

Il popolarissimo software di video encoding HandBrake per Mac è stato trasformato nei giorni scorsi in un vettore per la diffusione di un malware capace di sottrarre le password del portachiavi e la master password che può decifrare le password crittografate. Sono gli stessi sviluppatori di HandBrake a darne notizia.

Nell'arco di quattro giorni, dal 2 al 6 maggio, un mirror per il download di HandBrake situato in download.handbrake.fr, ha distribuito una versione del software contenente una backdoor conosciuta come Proton. Si tratta di un malware per Mac sviluppato a livello professionale, che viene venduto a 63 mila dollari sul "lato oscuro" del web e mette a disposizione un'ampia gamma di funzionalità malevole come keylogging, accesso remoto, capacità di catturare video e foto dalla webcam e screenshot del monitor, così come la possibilità di sottrarre file. Una prima versione di Proton fu distribuita con una firma valida che Apple usa per certificare i software di terze parti, con gli sviluppatori della Mela che hanno dovuto aggiornare macOS affinché la riconoscesse automaticamente, impedendone l'installazione.

Gli sviluppatori di HandBrake hanno sottolineato che dei due server usati per distribuire l'app solamente uno è stato compromesso, il che significa che coloro i quali hanno scaricato HandBrake 1.0.7 nel periodo dal 2 al 6 maggio hanno una probabilità del 50% di aver ricevuto la versione contenete il malware. Nel momento in cui viene avviato l'installer compromesso, all'utente viene richiesto di inserire la password di amminsitrazione, che veniva immediatamente caricata in testo semplice su un server controllato dagli attaccanti. Il malware, una volta installato, invia vari file al server contenenti le password che è possibile rintracciare sul sistema infetto.

Vi sono due modi semplici per verificare se il sistema sia stato infettato da Proton: il primo è la presenza di un processo chiamato activity_agent in Monitoraggio Attività, il secondo è la presenza di un file chiamato proton.zip nella cartella ~/Library/VideoFrameworks. Una terza procedura, leggermente più complessa, può essere il controllo del checksum SHA1 del file di installazione digitando "shasum nome_cartella/HandBrake-1.0.7.dmg" sostituendo a nome_cartella la cartella in cui si trova il file di installazione. Se il risultato mostrato è 0935a43ca90c6c419a49e4f8f1d75e68cd70b274, allora si tratta del file compromesso.

Nel caso si riscontrasse la presenza del malware, è opportuno correre immediatamente ai ripari: prima cosa da fare è sbarazzarsi dell'installer compromesso e per maggior sicurezza eliminare anche HandBrake sostituendolo con una nuova versione "sana". In secondo luogo bisogna rimuovere i file fr.handbrake.activity_agent.plist e activity_agent.app nella cartella ~/Library/RenderFiles e riavviare la macchina. Una volta fatto ciò il sistema è ripulito, e a questo punto è imperativo cambiare tutte le password.

HandBrake non è la prima app per Mac compromessa allo scopo di installare malware sulle macchine di utenti ignari: lo scorso anno l'applicazione Transmission, un client BitTorrent, era stata sfruttata in una maniera simile per distribuire una delle prime incarnazioni di ransomware dedicato ai sistemi Mac, conosciuto con il nome di Keydnap. E tra le due app c'è una piccola ma significativa attinenza: entrambi i programmi sono stati sviluppati originariamente da Eric Petit. Probabilmente è solo una semplice coincidenza, ma sicuramente piuttosto curiosa.