Se avete scaricato negli ultimi giorni HandBrake per Mac, occhio al potenziale malware

Leggi questo articolo grazie alle donazioni di Massimiliano Francescutto, Paolo Bulgarelli.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Una delle app più comode quando si tratta di codificare video da un formato all’altro, oppure effettuare il rip di un DVD, è sicuramente HandBrake. Magari non appariscente come altre app, ma funziona bene e soprattutto è gratuita, nonché open source. Cosa può avere a che fare con un programma malevolo? L’applicazione in sé nulla, anzi è la principale vittima della situazione creatasi negli scorsi giorni, cui gli sviluppatori hanno rapidamente posto riparo.

Tra le 15:30 italiane del 2 maggio e le 11 del 6 maggio, il server secondario da cui si poteva scaricare HandBrake è stato compromesso, distribuendo un installer modificato che conteneva anche il trojan OSX.PROTON. Questo malware è già venuto alla ribalta negli scorsi mesi, riproponendosi ultimamente in una forma rivisitata per scavalcare le funzionalità protettive di macOS e delle app terze di sicurezza, col medesimo scopo della forma originale: fornire ai malintenzionati la possibilità di attaccare da remoto il Mac della vittima, con privilegi amministrativi totali. Il server è stato per ora disattivato, impedendo così l’ulteriore diffusione di pacchetti alterati; quello principale rimane inalterato ed operativo. In aggiunta, Apple sta già provvedendo ad aggiornare le definizioni dell’antimalware integrato XProtect, che così sarà nuovamente in grado di neutralizzare PROTON.

Se siete utenti di HandBrake, avete già una copia installata dalla versione 1.0 poi ed è stata aggiornata all’ultimo rilascio attraverso l’updater integrato, che verifica automaticamente l’originalità del pacchetto scaricato. Se invece avete aggiornato a partire da versioni meno recenti come la 0.10.5 o scaricato l’installer dal sito ufficiale, gli sviluppatori ritengono ci siano il 50% di possibilità che il proprio Mac sia stato infettato, in quanto la scelta tra il server principale e quello alternativo viene fatta automaticamente. Per verificare basta aprire Monitoraggio Attività (da Launchpad -> cartella Altro oppure da Spotlight) e stare attenti alla presenza di un processo denominato “Activity_agent”. In caso affermativo, ecco come procedere:

  • Aprire il Terminale (anch’esso nella cartella Altro del Launchpad) e inserire:
    launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • Premere invio, dunque procedere con questo ulteriore comando:
    rm -rf ~/Library/RenderFiles/activity_agent.app
  • Confermare premendo ancora Invio

A questo punto il più è fatto. Le ultime operazioni sono da compiere nel Finder. Aprire una sua istanza, dunque cliccare sul menu Vai. Tenendo premuto Alt, scegliere Libreria. Rilasciato il tasto Alt, bisognerà scorrere fino alla cartella VideoFrameworks. Se al suo interno si troverà il file “proton.zip”, la cartella dovrà essere eliminata. Lo stesso vale per la versione infetta di HandBrake, recandosi nella cartella Applicazioni e rimuovendo il file “HandBrake.app”. Una volta effettuato ciò, basterà svuotare il cestino per essersi sbarazzati del tutto dal malware e si potrà procedere a reinstallare HandBrake riscaricandola dal sito ufficiale.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.