Alerte pour les utilisateurs ayant téléchargé et installé l'application HandBrake pour Mac entre le 2 mai et le 6 mai. Pour la moitié d'entre eux, cet outil open source pour la conversion de vidéos est susceptible d'être infecté par un malware.
Un miroir de téléchargement (donwload.handbrake.fr) a été compromis et le fichier HandBrake-1.0.7.dmg a été remplacé par un fichier malveillant dont la somme de contrôle SHA1 / SHA256 ne correspondait pas à celle du fichier légitime. Les développeurs précisent que le miroir de téléchargement principal et le site Web n'ont pas été affectés. Par ailleurs, aucun risque pour un téléchargement automatique opéré depuis la version 1.0 ou ultérieure.
Cette affaire rappelle le cas de l'application BitTorrent Transmission pour Mac avec la compromission du site officiel ayant permis la diffusion du ransomware KeRanger puis du malware Keydnap. Pour HandBrake, il est question d'un malware permettant une prise de contrôle à distance qui est une variante de Proton. Apple avait ajouté une signature à XProtect pour la version initiale de Proton, et désormais pour sa variante.
Afin d'obtenir les privilèges administrateurs, l'application HandBrake malveillante demande aux victimes de renseigner leurs identifiants, ce que ne demande pas l'application légitime. Le malware s'installe en tant que activity_agent.app et configure un agent fr.handbreak.activity_agent.plist pour un lancement à chaque connexion.
Crédit : Objective-See
Sur le forum de HandBrake, des instructions sont publiées afin de détecter une éventuelle infection et la supprimer. Le cas échéant, il est recommandé de modifier tous les mots de passe stockés dans le trousseau d'accès de macOS ou enregistrés dans les navigateurs.
