Jak donosi serwis The Mac Observer, jeden z serwerów na których udostępniane są najnowsze wersje Handbrake'a- popularnego programu dla Maca do konwersji wideo - padł ofiarą ataku hakerskiego.

Atak na jeden z serwerów miał miejsce 2 maja o 10:30 rano czasu wschodniego w USA. Paczkę instalacyjną HandBrake'a w wersji 10.0.7 podmieniono na plik zawierający trojana OSX.PROTON, który pojawił się w 2017 roku. Pozwala on na obejście Gatekeepera, ponieważ posiada ważny podpis deweloperski. OSX.PROTON pozwala na całkowite zdalne przejęcie kontroli nad komputerem, włącznie z kamerką, podglądem ekranu, rejestracją naciśniętych klawiszy, wgrywaniem plików, w tym kolejnego malware itp.

Osoby, które pobrały Handbrake'a w okresie od 2 do 6 maja powinny zweryfikować sumę kontrolną pliku instalacyjnego. Ci, którzy go otworzyli, powinni sprawdzić, czy ich komputer nie został zainfekowany, a niestety są duże szanse, że tak się właśnie stało. Zdaniem twórców programu Apple rozpoczęło już proces aktualizacji definicji malware, co ma uodpornić komputery Mac na tego trojana.

Pliki z tymi sumami kontrolnymi są zainfekowane:

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274

SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Usunięcie trojana

Terminal:

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist

rm -rf ~/Library/RenderFiles/activity_agent.app

Jeśli w folderze ~/Library/VideoFrameworks/ znajduje się plik proton.zip, należy usunąć cały folder.

Pamiętać trzeba także o zmianie wszystkich haseł, które zapisane są w systemowym pęku kluczy. Należy też usunąć wszystkie pliki HandBrake'a z komputera.

Pełna informacja na temat tego zagrożenia znajduje się na forum Handbrake'a.

Źródło: The Mac Obsrver