Los desarrolladores de HandBrake, el popular y sumamente capaz
transcoder multiplataforma de código abierto, han emitido
un boletín para avisar a los usuarios de la versión de la aplicación para Mac que extremen las medidas de seguridad después de haber comprobado que una o varias personas accedieron de forma ilícita a uno de los servidores de descarga e infectaron el instalador HandBrake-1.0.7.dmg contenido en el
mirror download.handbrake.fr con un RAT o troyano de acceso remoto.
HandBrake es una aplicación muy conocida entre los usuarios que convierten habitualmente distintos tipos de archivos multimedia, como numerosos aficionados al cine en casa con un NAS y/o un dispositivo de reproducción multimedia conectado a una red doméstica.
De acuerdo con la alerta de seguridad emitida por los desarrolladores, los servidores de HandBrake fueron atacados entre el 2 y el 6 de mayo, sustituyendo la versión 1.0.7 para Mac con un paquete propio utilizado para introducir un RAT relativamente novedoso llamado Proton.
El equipo de desarrollo de HandBrake recomienda asegurarse de la integridad de las descargas y señala que si el usuario ve un proceso llamado Activity_Agent en el monitor del sistema operativo es que su ordenador está infectado. Es necesario señalar que el
mirror primario no fue atacado.
Vídeo de demostración de Proton publicado por su autor. Según señala
Bleeping Computer, este troyano de acceso remoto fue descubierto en marzo cuando se puso a la venta en un foro ruso especializado en este tipo de menesteres y proporciona al
cracker en cuestión la capacidad de ejecutar comandos de consola, registrar las operaciones realizadas desde el teclado, tomar capturas de pantalla, acceder a la cámara web de la víctima, abrir conexiones remotas SSH/VNC y mostrar ventanas emergentes para solicitar información sensible como números de tarjetas de crédito, nombres de usuarios y contraseñas.
De acuerdo con su autor, Proton también proporciona acceso
root y puede evitar las medidas de seguridad básicas de macOS, además de saltarse de alguna forma la autenticación de dos pasos de iCloud. Casi igual de sorprendente es el hecho de que al menos en el momento de su lanzamiento Proton estaba firmado con certificados de Apple auténticos.
Se da la circunstancia de que el desarrollador original de HandBrake es el mismo que el del cliente de BitTorrent para Mac Transmission, que el año pasado se convirtió en noticia tras ser infectado en primer lugar por el
ransomware KeRanger y poco después por el ladrón de credenciales
Keydnap. Los desarrolladores de HandBrake, en cualquier caso, han querido marcar las distancias y señalan en el propio comunicado que actualmente son proyectos totalmente independientes en cuanto a equipos de desarrollo y máquinas virtuales.
Fuente: Bleeping Computer