A quanto pare, uno dei meccanismi preferiti dagli hacker per infettare i sistemi Mac consiste proprio nei trojan. Dopo la notizia dell’attacco condotto grazie al malware “Snake“, abilmente occultato in un finto aggiornamento per il Flash Player della Adobe, giunge notizia che anche il software “Handbrake” sarebbe stato utilizzato per veicolare un virus, ovvero Proton.
Come visto nel recente passato, i trojan sono uno dei canali più usati dai criminali 2.0 per compromettere la sicurezza dei terminal MacOS based: prima ancora dell’episodio che ha visto protagonista il malware Snake, fu un client Torrent – il noto Transmission – ad esser stato usato come veicolo, inconsapevole, di uno dei primi ransomware per Mac, il temibile Keydnap.
Questa volta, gli hacker hanno utilizzato il noto programma open source “Handbrake”, che viene utilizzato, ogni giorno, da milioni di utenti per convertire i file multimediali sui sistemi MacOS: nello specifico, la società sviluppatrice del programma ha ammesso che uno dei suoi due mirror, quello alloggiato su “download.handbrake.fr”, è stato compromesso e che vi è stata caricata una versione del loro encoder manipolata col malware “OSX.PROTON”, in grado di installare in locale un keylogger, di scattare screenshots del desktop, registrare video e audio, e – soprattutto – carpire tutte le password trovate.
Nel caso specifico, gli utenti che – tra il 2 ed il 6 Maggio scorsi – hanno scaricato HandBrake hanno il 50% di possibilità di essere rimasti infetti a causa di Proton: Handbrake, infatti, è un programma “non firmato” e, come tale, viene sempre abilitato dall’utente nella sezione “Sicurezza e Privacy” delle Preferenze di Sistema. A quel punto, il virus – una volta eseguito l’encoder – chiede la password di amministrazione del sistema, e passa a comunicare, ad un server remoto, tutte le password presenti nel Portafogli del Mac, ed utilizzate per i log-in in internet e negli home-banking.
Per verificare se si è stati compromessi da tale malware, è possibile eseguire la scansione con Eset Nod32, GData, TrendMicro, Kaspersky, o Symantec: procedendo a mano, poi, si può controllare se nell’Utility “Monitoraggio Attività” sia attivo il processo “actvity_agent“, e se – nella directory “Library/VideoFrameworks” – sia presente l’archivio compresso “proton.zip“.
Nel caso la verifica desse esito positivo, è necessario cestinare l’installer compromesso scaricato a inizio Maggio, e sostituire Handbrake con la versione corretta e “pulita” rilasciata in seguito. Espletato questo passaggio, avvalendosi del terminale, è necessario rimuovere i file “fr.handbrake.activity_agent.plist” e “activity_agent.app” dalla cartella “~/Library/RenderFiles/activity”, per – poi – riavviare il sistema.
Con questa trafila, invero un po’ lunga, si bonifica il Mac dall’azione di “Proton”, ma non ci si può certo fermare qui: ricordate le password rubate? Ecco, dovete cambiare tutte quelle contenuti nell’app Portafogli.