Una delle app più comode quando si tratta di codificare video da un formato all'altro, oppure effettuare il rip di un DVD, è sicuramente HandBrake. Magari non appariscente come altre app, ma funziona bene e soprattutto è gratuita, nonché open source. Cosa può avere a che fare con un programma malevolo? L'applicazione in sé nulla, anzi è la principale vittima della situazione creatasi negli scorsi giorni, cui gli sviluppatori hanno rapidamente posto riparo.

Tra le 15:30 italiane del 2 maggio e le 11 del 6 maggio, il server secondario da cui si poteva scaricare HandBrake è stato compromesso, distribuendo un installer modificato che conteneva anche il trojan OSX.PROTON. Questo malware è già venuto alla ribalta negli scorsi mesi, riproponendosi ultimamente in una forma rivisitata per scavalcare le funzionalità protettive di macOS e delle app terze di sicurezza, col medesimo scopo della forma originale: fornire ai malintenzionati la possibilità di attaccare da remoto il Mac della vittima, con privilegi amministrativi totali. Il server è stato per ora disattivato, impedendo così l'ulteriore diffusione di pacchetti alterati; quello principale rimane inalterato ed operativo. In aggiunta, Apple sta già provvedendo ad aggiornare le definizioni dell'antimalware integrato XProtect, che così sarà nuovamente in grado di neutralizzare PROTON.

Se siete utenti di HandBrake, avete già una copia installata dalla versione 1.0 poi ed è stata aggiornata all'ultimo rilascio attraverso l'updater integrato, che verifica automaticamente l'originalità del pacchetto scaricato. Se invece avete aggiornato a partire da versioni meno recenti come la 0.10.5 o scaricato l'installer dal sito ufficiale, gli sviluppatori ritengono ci siano il 50% di possibilità che il proprio Mac sia stato infettato, in quanto la scelta tra il server principale e quello alternativo viene fatta automaticamente. Per verificare basta aprire Monitoraggio Attività (da Launchpad -> cartella Altro oppure da Spotlight) e stare attenti alla presenza di un processo denominato "Activity_agent". In caso affermativo, ecco come procedere:

  • Aprire il Terminale (anch'esso nella cartella Altro del Launchpad) e inserire:
    launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • Premere invio, dunque procedere con questo ulteriore comando:
    rm -rf ~/Library/RenderFiles/activity_agent.app
  • Confermare premendo ancora Invio

A questo punto il più è fatto. Le ultime operazioni sono da compiere nel Finder. Aprire una sua istanza, dunque cliccare sul menu Vai. Tenendo premuto Alt, scegliere Libreria. Rilasciato il tasto Alt, bisognerà scorrere fino alla cartella VideoFrameworks. Se al suo interno si troverà il file "proton.zip", la cartella dovrà essere eliminata. Lo stesso vale per la versione infetta di HandBrake, recandosi nella cartella Applicazioni e rimuovendo il file "HandBrake.app". Una volta effettuato ciò, basterà svuotare il cestino per essersi sbarazzati del tutto dal malware e si potrà procedere a reinstallare HandBrake riscaricandola dal sito ufficiale.