Handbrake per Mac infettato con un Trojan: come verificare se il computer è stato compromesso
Gli sviluppatori di Handbrake, unanimemente considerato il miglior software per rippare un DVD commerciale, hanno diramato un Allarme Sicurezza perché un gruppo di pirati informatici hanno hackerato (violato) uno dei due server per il download dell’applicazione, che è stata sostituita con una versione che include una variante del cavallo di Troia OSX.Proton, un Remote Access Trojan (RAT) realizzato da alcuni cyber-criminali russi.
Il server in questione è stato bloccato per ulteriori indagini, tuttavia i responsabili di HandBrake fanno sapere che gli utenti che hanno scaricato il software tra le 14:30 del 2 maggio e le 11:00 del 6 maggio hanno una probabilità del 50% che il Mac sia infettato dal Trojan.
Gli sviluppatori di Handbrake hanno precisato che il server primario e il sito web non sono stati compromessi, e che non corre alcun pericolo ci ha effettuato l’aggiornamento di Handbrake utilizzando il sistema interno di autoupdate, purché sia stato eseguito dalla versione 1.0. Invece, chi ha eseguito l’aggiornamento da Handbrake 0.10.5 deve effettuare i controlli che trovate di seguito perché potrebbe essere stato infettato.
Come verificare se il proprio Mac è stato infettato
Se la scorsa settimana avete scaricato HandBrake 1.0.7, lanciate Monitoraggio Attività (si trova nella nella cartella Applicazione/Utility), quindi nel campo di ricerca interno dell’applicazione che si trova in alto a destra digitate Activity_agent. Se appare un processo con questo nome, allora il Mac è stato infettato.
Come rimuovere il Trojan
Per rimuovere il malware, aprite l’applicazione Terminale (Applicazioni/Utility), copiate e incollate i seguenti comandi una alla volta, e dopo ciascuno premete Invio:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app
if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
Inoltre, è necessario cestinate tutte le eventuali altre versioni di HandBrake presenti sul proprio Mac, e a scopo precauzionale modificare le password salvate nel portachiavi o in qualsiasi browser.
Nel corso della giornata di sabato scorso, sabato 6 maggio, Apple ha già provveduto a neutralizzate la variante OSX.Proton,chiamata OSX.Proton.B, aggiornando il file di sistema XProtect che include l’elenco dei malware per Mac (non è richiesta alcuna azione, è sufficiente che il proprio Mac sia collegato ad Internet).
19 commenti
Ciao,
ho handbrake sul mac, non ho riscontrato problemi, peró, utilizzo portachiavi icloud, mi stai dicendo che nell’eventualità un malware del genere potrebbe compromettere le password del portachiavi?
Quindi a questo punto sarebbe più sicuro il classico password manager?
Grazie
L’applicazione Portachiavi di macOS è una sorta di Fort Knox, assolutamente inviolabile. Il problema è che il Trojan in questione è in grado di registrare le sequenze di tasti, quindi anche le eventuali password se digitate.
Ottimo, quindi il problema è circoscritto solo a questa eventualità.
Grazie della risposta, buona serata
Scusa Stefano, solo per chiarezza estrema,
lo screen che hai postato qui sopra del “monitoraggio attività” non presenta nessun processo con quel nome e sta a significare che il tuo mac è privo di malware,
quindi anche a me dovrebbe comparire esattamente così il “monitoraggio attività” sano e privo del malware, giusto?
Grazie
Esattamente. Se effettuando la ricerca non appare il processo incriminato, il Mac è salvo.
Cosa significa:
if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
Se nella carrella VideoFrameworks che si trova nella Libreria utente c’è un file che si chiama proton.zip, la cartella deve essere rimossa.
Panico! Sembra che io sia stato infettato… se digito però da Terminale la stringa
launchctl unload ~/Libreria/LaunchAgents/fr.handbrake.activity_agent.plist
Ottengo No such file or directory
Che devo fare?
(precisazione da commento di prima: Nel “monitoraggio attività (tutti i processi) il processo non appare e quindi non dovrei avere problemi, se ho capito bene. In “monitoraggio attività – ENERGIA” invece il processo Activity_agent appare, ma è in grigio. Significa che è stato eliminato/reso inoffensivo dal sistema? Scusate la domanda che può apparire elementare. Sono un utente mac da relativamente poco tempo)
La settimana scorsa hai scaricato Handbrake?
Scatta una istantanea di Monitoraggio Attività (⌘-⇧-4 – barra spaziatrice) e aggiungila al prossimo commento con questo servizio click qui che gli do una occhiatina.
ovviamente sì, ho scaricato handbrake il 4 maggio… tra l’altro per rippare un dvd MIO! Il massimo dell’autolesionismo… Questi sono gli screenshot di “tutti i processi”, fatti in varie schermate. Grazie in anticipo!
[url=https://postimg.org/image/824rwd1hr/][img]https://s11.postimg.org/824rwd1hr/tutti_processi5.png[/img][/url]
[url=https://postimg.org/image/9igaei4en/][img]https://s11.postimg.org/9igaei4en/tutti_processi4.png[/img][/url]
[url=https://postimg.org/image/ev54smsb3/][img]https://s11.postimg.org/ev54smsb3/tutti_processi3.png[/img][/url]
[url=https://postimg.org/image/9l4rf2xfz/][img]https://s11.postimg.org/9l4rf2xfz/tutti_processi2.png[/img][/url]
[url=https://postimg.org/image/pxet4tbrj/][img]https://s11.postimg.org/pxet4tbrj/tutti_processi1.jpg[/img][/url]
(ho controllato anche il checksum del file .dmg rispetto a quello indicato nel sito di Handbrake come infetto e ovviamente corrisponde… effettivamente Activity_agent non lo vedo più ma, come ho detto, non son tanto pratico…)
Dalle immagini che hai condiviso, non direi che il tuo Mac è stato infettato. In ogni caso il malware è già stato neutralizzato da Apple.
meglio così! Grazie della risposta!!!
niente.. putroppo Activity_agent è carinamente in esecuzione da “tutti i processi” e la finestra “Network configuration needs to update DJCP Settings” continua ad apparire, chiedendomi la password. Cosa che mi guardo bene dal mettere. Ma non so che cosa fare! Lancio il comando “launchctl unload ~/Libreria/LaunchAgents/fr.handbrake.activity_agent.plist” da terminale, ma ottengo sempre “no such file or directory”… Help!!
https://s17.postimg.org/nm0hkf8tb/activity.jpg
Questa foto non l’avevi condivisa prima… sei stato infettato.
Installa questa applicazione, lancia la scansione, e poi rimuovi i file che appaiono nell’elenco dopo la scansione click qui
Grazie!!! Tutto rimosso!