Menú principal

lunes, 8 de mayo de 2017

Warning: Un mirror de Handbrake comprometido propaga variante de OSX.Proton

A todos los usuarios de Handbrake, una herramienta que permite comprimir y codificar videos de forma muy interesante y productiva, les interesará saber que durante el período de tiempo del 2 al 6 de mayo la herramienta ha sido comprometida, por lo que los usuarios que hayan descargado la herramienta en este período de tiempo deberán realizar una serie de comprobaciones para verificar que han sido infectados con un troyano de origen ruso. El problema es que un mirror de Handbrake fue comprometido y es aquí dónde pudieron comprometer la herramienta y todas las máquinas que descargasen el binario.

Los usuarios que descargaron la versión infectada durante ese período de tiempo tendrán que cambiar todas las contraseñas del KeyChain y cualquier otra contraseña almacenada en el navegador. El anuncio fue publicado por la empresa de Handbrake en los foros de la aplicación el pasado sábado. Los propietarios de Handbrake informan: "Cualquier que haya instalado Handbrake para Mac necesita verificar que su sistema no está infectado con un troyano.  Tienes muchas posibilidades de estar infectado". Los usuarios de Windows, como se puede ver en la nota, no están infectados.

Figura 1: Análisis de OSX.Proton en VirusTotal

Para comprobar si uno está infectado por el troyano ruso existen varios métodos, los cuales exponemos a continuación: 
  • Si en el monitor de actividad existe un proceso denominado Activity_agent estás infectado.
  • La infección es una nueva versión de OSX.Proton, un troyano atribuido a Rusia.
  • La aplicación infectada está firmada con los hashes SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 y SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Las instrucciones para eliminar el troyano son:
  • Abrir un terminal.
  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist 
  • rm -rf ~/Library/RenderFiles/activity_agent.app
  • if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
Este hecho recuerda al famoso incidente que afecto a la aplicación Transmission con el malware KeRanger, el cual contamos en Seguridad Apple. Sin duda, una noticia importante que afecta a los miles de usuarios de HandBrake y que pueden estar infectados por una variante de OSX.Proton. Consulta los métodos para detectar el malware.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares