Infectan la versión para Mac de HandBrake con un troyano de acceso remoto

Alejo I
26 43 47
Noticias » Tecnología
Los desarrolladores de HandBrake, el popular y sumamente capaz transcoder multiplataforma de código abierto, han emitido un boletín para avisar a los usuarios de la versión de la aplicación para Mac que extremen las medidas de seguridad después de haber comprobado que una o varias personas accedieron de forma ilícita a uno de los servidores de descarga e infectaron el instalador HandBrake-1.0.7.dmg contenido en el mirror download.handbrake.fr con un RAT o troyano de acceso remoto.

HandBrake es una aplicación muy conocida entre los usuarios que convierten habitualmente distintos tipos de archivos multimedia, como numerosos aficionados al cine en casa con un NAS y/o un dispositivo de reproducción multimedia conectado a una red doméstica.

De acuerdo con la alerta de seguridad emitida por los desarrolladores, los servidores de HandBrake fueron atacados entre el 2 y el 6 de mayo, sustituyendo la versión 1.0.7 para Mac con un paquete propio utilizado para introducir un RAT relativamente novedoso llamado Proton.

El equipo de desarrollo de HandBrake recomienda asegurarse de la integridad de las descargas y señala que si el usuario ve un proceso llamado Activity_Agent en el monitor del sistema operativo es que su ordenador está infectado. Es necesario señalar que el mirror primario no fue atacado.

Vídeo de demostración de Proton publicado por su autor.

Según señala Bleeping Computer, este troyano de acceso remoto fue descubierto en marzo cuando se puso a la venta en un foro ruso especializado en este tipo de menesteres y proporciona al cracker en cuestión la capacidad de ejecutar comandos de consola, registrar las operaciones realizadas desde el teclado, tomar capturas de pantalla, acceder a la cámara web de la víctima, abrir conexiones remotas SSH/VNC y mostrar ventanas emergentes para solicitar información sensible como números de tarjetas de crédito, nombres de usuarios y contraseñas.

De acuerdo con su autor, Proton también proporciona acceso root y puede evitar las medidas de seguridad básicas de macOS, además de saltarse de alguna forma la autenticación de dos pasos de iCloud. Casi igual de sorprendente es el hecho de que al menos en el momento de su lanzamiento Proton estaba firmado con certificados de Apple auténticos.

Se da la circunstancia de que el desarrollador original de HandBrake es el mismo que el del cliente de BitTorrent para Mac Transmission, que el año pasado se convirtió en noticia tras ser infectado en primer lugar por el ransomware KeRanger y poco después por el ladrón de credenciales Keydnap. Los desarrolladores de HandBrake, en cualquier caso, han querido marcar las distancias y señalan en el propio comunicado que actualmente son proyectos totalmente independientes en cuanto a equipos de desarrollo y máquinas virtuales.
47 comentarios
  1. Os acordais cuando apple hacia sus arquitecturas y sus SO estaban libres de virus? [carcajad]
  2. Está claro que nada es perfecto ni seguro 100%...
  3. Zippo escribió:Os acordais cuando apple hacia sus arquitecturas y sus SO estaban libres de virus? [carcajad]
    Se hubiera infectado igual, ya que el problema procede de la fuente no del sistema. Al menos podrías leer la noticia...
  4. lovechii5 escribió:
    Zippo escribió:Os acordais cuando apple hacia sus arquitecturas y sus SO estaban libres de virus? [carcajad]
    Se hubiera infectado igual, ya que el problema procede de la fuente no del sistema. Al menos podrías leer la noticia...


    No se por que me da a mi que el comentario no va por esos derroteros [+risas] [qmparto]
  5. Los os de apple, eran seguros, porque no tenían el interés suficiente, para meterle mano. Ahora están vendiendo más y tienen interés en meterle mano.
  6. Esto ocurre en Windows todos los días...
  7. dogboyz escribió:Esto ocurre en Windows todos los días...

    Pero en Windows la gente suele usar antivirus.
  8. Por eso no uso binarios... si la firma no concide es que alguien lo ha manipulado
  9. La opción segura es que suban las apps a las tiendas oficiales, que son más seguras que el hosting personal y seguro que no infectan los instaladores. Eso para que luego nos riamos de que nos quieran hacer usar las stores y que lo suyo es pillar las apps de su fuente.
  10. Aqui no se libra nadie.
Ver más comentarios »