HandBrake è uno dei più famosi strumento di transcodifica video per Mac. Qualche giorno fa un gruppo di cyber-criminali è riuscito a violare uno dei server di questa app e ha sostituito la versione legittima del software con un malware per Mac. Gli utenti sono stati infettati attraverso il sito https://handbrake.fr. Nel sito compromesso compariva un "Avviso di protezione" al quale era collegato un link (immagine sotto).
Chiunque ha scaricato HandBrake su Mac tra il 2 e il 6 Maggio deve verificare assolutamente il valore del checksum SHA1/256 del file prima di eseguirlo. Tenendo di conto che in quel lasso di tempo c'era il 50% di possibilità di scaricare il malware al posto della vera app, è molto probabile che chi ha scaricato la app in realtà abbia subito un'infezione. Due infatti sono i server dai quali viene distribuita l'app e uno è stato infettato. Nel dettaglio con un malware che consente agli attaccanti di accedere da remoto ai Mac infettati, catturare screenshot, rubare dati e password e tutto ciò che è stato digitato sulla tastiera, utilizzare la webcam ecc.. Il malware si chiama Proton: è una backdoor professionalmente sviluppata in vendita solo nel Dark Web al costo di 63mila dollari.
Proton era già stato distribuito una volta verso svariati Mac, grazie al fatto che si distribuiva con una firma valida che Apple usa effettivamente per certificare i software di terze parti: Apple è stata obbligata ad aggiornare macOs affinchè la riconoscesse e ne impedisse l'installazione.
L'app infetta
La prima differenza con l'app originale si nota fin dal momento dopo il download: appare infatti una strana finestra di dialogo all'avvio della app, nella quale si chiede di inserire username e password per "installare codec aggiuntivi".
Anche nel caso in cui l'utente rifiuti questa richiesta, si presenta comunque una seconda finestra, non legata ad Handbrake ma (apparentemente) legata alla "Network Configuration" che chiede, ancora, la password di sistema per "aggiornare le impostazioni DHCP". La finestra non si può chiudere: si ripresenta cioè in continuazione e l'unica soluzione per liberarsene e chiuderla definitivamente e riavviare il Mac.
Come individuare l'app infetta?
Ci sono tre modi.
1.Verificare che i valori checksum di SHA1 e SHA256 dei file HandBrake.dmg non siano i seguenti.
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Se sono i seguenti, il file che avete a disposizione è quello infetto.
2. Verificare la presenza di un processo chiamato activity_agent nel Monitoraggio Attività.
3. Verificare la presenza di proton.zip nella cartella /Library/VideoFrameworks
Se siete stati infettati, cosa fare?
Cancella l'installer compromesso e disinstalla subito la versione corrotta di HandBrake, sostituendola con una non compromessa. Fatto ciò, cerca e cancella i file fr.handbrake.activity_agent.plist e activity_agent.app dalla cartella ~/Library/RenderFiles, quindi riavvia il tuo Mac.
Cambia infine tutte le password.
La morale
Ancora una volta questa storia ribadisce che i Mac sono diventati terreno di interesse dei cyber-criminali. I Mac non sono mai stati all'attenzione dei cyber-criminali perché, nei fatti, poco diffusi. Ad oggi invece i Mac cominciano ad avere una diffusione piuttosto capillare e costituiscono un terreno nuovo e quasi inesplorato per truffe e attacchi di ogni tipo. In sunto è sempre più corrispondente al vero il ritenere un errore, o quantomeno una leggenda metropolitana, la convinzione che i Mac non necessitino di antivirus.
Nessun commento:
Posta un commento