Un popolare tool di conversione video per Mac è stato preso di mira da malintenzionati in Rete e, per questo, chiunque avesse effettuato un download recente potrebbe essere a rischio. È quanto comunicano gli stessi sviluppatori di HandBrake, soluzione opensource decisamente diffusa fra gli utenti di OS X e macOS, tramite la compromissione di un mirror per il download. Gli utenti che avessero scaricato il software, di conseguenza, sono invitati a effettuare i dovuti controlli sulle macchine in loro possesso.
Il tutto è accaduto nel corso dello scorso weekend, quando alcuni malintenzionati sarebbero riusciti a ottenere l’accesso a uno dei mirror di HandBrake, modificandone il pacchetto di download includendo un pericoloso malware. L’attacco è stato immediatamente intercettato dagli sviluppatori della famosa applicazione e, per questo, è stato diramato un urgente avviso per tutti gli utenti. Chiunque avesse scaricato il software tra il 2 e il 6 maggio, infatti, potrebbe essere stato a rischio d’infezione.
Non tutti i download effettuati in questi giorni, tuttavia, pare siano stati compromessi. Così come già accennato, la problematica ha coinvolto solo uno dei tanti mirror con cui è possibile scaricare l’app, in particolare un link ospitante il file HandBrake-1.0.7.dmg. Chi avesse già da tempo installato il programma sul proprio Mac, e avesse seguito la procedura inclusa per l’upgrade dell’applicazione, non dovrebbe invece teoricamente correre alcun rischio.
Secondo quanto reso noto dagli esperti di Synack, il software modificato illecitamente pare possa installare una versione aggiornata del trojan Proton, capace di condurre attività di keylogging, garantire accesso remoto tramite SSH, eseguire comandi shell in modalità root, nonché acquisire screenshot dello schermo e della webcam. Per potersi installare sul Mac in uso, la versione alternata di HandBrake chiederebbe la password dell’utente con la falsa scusa di installare alcuni codec, eludendo così le attenzioni del proprietario della macchina. Gli sviluppatori del software, tramite il forum di supporto ufficiale, hanno offerto delle istruzioni per la rimozione manuale del codice malevolo, dopodiché hanno consigliato di modificare tutte le proprie password, per evitare accessi indebiti qualora fossero entrate in possesso di hacker remoti.