Mac Malware Handbrake

Esta semana, los usuarios de macOS han estado bajo serias amenazas. Primero, una alerta emitida por varios investigadores en seguridad advierten de que hackers han logrado portar Snake, un viejo malware conocido, al sistema operativo de escritorio de Apple. Luego, Checkpoint ha informado la difusión de un nuevo malware que ataca principalmente a usuarios de macOS. Ahora, los desarrolladores detrás de Handbrake, el popular software para codificar vídeo, están reportando que su versión para macOS ha sido contaminada con malware.

Según el informe oficial desde Handbrake, uno de sus sitios espejos para la descarga del software para macOS ha sido comprometida. Se estima, que todos los usuarios que han descargado Handbrake entre el 2 y el 6 de mayo de este año tienen una probabilidad del 50/50 de estar infectados —de cualquier modo será mejor que todos los usuarios verifiquen si han descargado Handbrake recientemente.

Los hackers responsables lograron sustituir la versión original con una contaminada con el malware OSX.PROTON. Este malware confiere acceso root al atacante permitiéndole acceso completo al sistema. Apple ya había detectado este malware en Febrero y ha emitido protección mediante XProtect tanto para la versión original como para la nueva variante.

El archivo contaminado, esta distribuido bajo el nombre de HandBrake-1.0.7.dmg se distribuyó “Activity el servidor download.handbrake.fr. La detección de este malware puede hacerse de forma manual:

Si uno ingresa al monitor de actividades, podrá observarse un proceso llamado “Activity_agent” si el usuario esta infectado. Para eliminar el troyano OSX.PROTÓN puede hacerse abriendo la aplicación Terminal e introducir los siguientes comandos:

  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app

Luego el usuario debería revisar la siguiente ruta:

  • ~/Library/VideoFrameworks/

Si esta contiene el archivo “proton.zip” (sin comillas) deberá eliminarse. Luego de esto, habrá que eliminar la aplicación “Handbrake.app”. Recomendamos hacerlo con una aplicación como CleanMyMac 3 o App Cleaner.

Adicionalmente, el usuario debería hacer un escaneo completo con una herramienta anti-malware, recomendamos hacerlo con Malwarebyte Anti-malware para Mac. Como última recomendación, el usuario deberá cambiar toda contraseña almacenada en los llaveros de MacOS.

Hackers rusos hicieron un port para macOS de un viejo malware de Windows

Si bien los usuarios que han instalado esta aplicación recientemente son los que están bajo amenazas. Sin embargo, hay que tomar en cuenta que hay quienes pueden haber recibido una actualización automática por lo que desde TekCrispy recomendamos verificar el sistema con los tips antes mencionados en todo usuario que utilice Handbrake.

Más en TekCrispy