Recém-chegado à versão 1.0 (no fim do ano passado), o HandBrake tornou-se neste fim de semana mais um aplicativo a sofrer com ataque de hackers. Segundo os seus desenvolvedores, os servidores de download do conversor de vídeos gratuito foram invadidos e o seu arquivo de instalação foi substituído por uma versão comprometida por um malware.
Para infectar o aplicativo foi utilizado o Proton, um Remote Access Trojan (conhecido pela sigla RAT) — já mencionado anteriormente aqui no MacMagazine — com uma assinatura digital que teria passado despercebida pelos usuários que o instalaram entre os dias 2 e 6 de maio. O malware coleta senhas criptografas no app nativo Acesso às Chaves (Keychain Access) do computador infectado, além de cookies, dados de sessões e outras informações particulares armazenadas no Safari, no Opera e no Chrome.
Segundo uma análise conduzida pela Intego , os dados eram apontados para o próprio serviço de hospedagem do HandBrake, levando à conclusão de que, além de ter sido invadido para a infecção dos arquivos de download, ele também foi usado para controlar Macs infectados e receber arquivos. No momento desta publicação, ele já não está operando mais desta maneira.
Como saber se estou infectado?
Basta abrir o app nativo Monitor de Atividade (Activity Monitor, localizado em /Aplicativos/Utilitários/
) no seu Mac e procurar pelo processo Activity_agent
. Caso ele não apareça na busca, você está livre desta ameaça.
Como saber se eu baixei uma versão maliciosa do HandBrake?
Usuários que baixaram o app entre os dias 2 e 6 de maio podem ter recebido o arquivo alterado.
Eu fui infectado. Como retiro o malware do meu Mac?
Abra uma janela do Terminal (também localizado em /Aplicativos/Utilitários/
) e execute os comandos a seguir (um por linha):
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist rm -rf ~/Library/RenderFiles/activity_agent.app
Depois, abra uma janela do Finder, selecione a opção “Ir para Pasta…” (no menu “Ir”) e digite o caminho ~/Library/VideoFrameworks/
. Caso o arquivo proton.zip
esteja disponível, basta apagá-lo junto da versão do HandBrake instalada no Mac.
Caso você tenha salvo senhas de sites nos seus navegadores e no Safari, também é recomendado trocá-las.
[via MacRumors]