2017/05/08

Versão oficial do HandBrake trocada por versão maliciosa


Quem tiver descarregado o popular HandBrake entre os dias 2 e 6 de Maio deverá verificar imediatamente o seu Mac, pois existe a possibilidade do mesmo ter sido infectado com um perigoso malware que permite o controlo remoto da máquina.

O HandBrake é um dos utilitários mais populares para macOS para fazer conversões de vídeo, e isso explica automaticamente o interesse de o tornarem num vector de ataque para chegarem a muitos milhares de utilizadores. A táctica foi simples, atacantes conseguiram entrar nalguns servidores que alojavam o ficheiro do programa, tendo de seguida substituído a versão original por uma versão infectada.

Quem tiver descarregado o programa entre 2 e 6 de Maio do servidor download.handbrake.fr terá 50% de probabilidade de ter sido infectado com uma nova variante do OSX.PROTON, um malware que dá aos atacantes o acesso remoto ao computador, permitindo-lhes fazer tudo o que desejarem (incluindo espiar os utilizadores usando a câmara do computador). De notar que este ataque não afectou o site oficial nem o processo de actualização automático nas versões mais recentes.

Para verificarem se estão infectados poderão verificar se existe um processo chamado "Activity_agent" a ser executado no OS X Activity Monitor, e se for o caso, removerem o malware através dos seguintes passos a executar no terminal da linha de comandos:
  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app
  • Se na pasta ~/Library/VideoFrameworks/ existir um ficheiro chamado proton.zip, apagar a pasta

Escusado será dizer que deverão também desinstalar o HandBrake e reinstalar uma nova versão; e para quem não se quiser arriscar a potenciais surpresas desagradáveis no futuro, é também recomendável trocar todas as passwords que mantiver no KeyChain do OSX e também nos browsers que utilizar.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]