Negli ultimi giorni sono stati scovati diversi malware per Mac, e l’ultimo in ordine di tempo è stato diffuso tramite un’app molto popolare tra gli utenti: Handbrake.
Handbrake è un diffuso video transcoder per Mac, ultimamente infettato per la seconda volta negli ultimi mesi. Gli sviluppatori di Handbrake hanno pubblicato una dichiarazione nella quale viene confermato il problema: il software è stato compromesso dagli hacker! Più in particolare, si tratta della versione che è stata disponibile sul sito ufficiale tra il 2 e il 6 maggio, con il 50% di probabilità di scaricare un update infetto.
In pratica, il file di installazione sul server mirror-handbrake.fr (relativo al file Handbrake-1.0.7.dmg) è stato sostituito da un file dannoso. Si tratta di una variante del malware OSX.PROTON, che fornisce all’hacker accesso al sistema con privilegio di root. Apple aveva già rilasciato a febbraio un aggiornamento a XProtect per scovare ed eliminare l’originale Proton, e da qualche giorno è disponibile un ulteriore update per quest’ultima variante.
Se avete scaricato e installato Handbrake dal 2 al 6 maggio, controllate il vostro Mac. Se nell’Activity Monitor di macOS viene visualizzato un processo denominato “Activity_agent”, allora il vostro Mac è stato infettato.
Per rimuoverlo, apri Terminale ed esegui i seguenti comandi:
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
- if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
Infine, rimuovi tutte le eventuali installazioni di “Handbrake.app”. Per precauzione, gli utenti con Mac infettato dovrebbero cambiare le password di sistema e tutte quelle presenti nel Portachiavi del browser.