La versión Mac de HandBrake infectada con spyware

La semana pasada, los ciberdelincuentes consiguieron comprometer uno de los servidores de descarga del popular software de vídeo HandBrake, subiendo una copia fraudulenta de la versión oficial para Mac.

El resultado es que cualquiera que hubiera instalado recientemente la versión 1.0.7 de HandBrake puede que se infectara con el malware OSX/Proton-A. Y decimos “puede” porque HandBrake dispone de dos servidores de descarga, el que funciona como espejo o copia de seguridad del principal fue el atacado.

Tal como entendemos las declaraciones de HandBrake, las descargas se dividen al 50%, por lo que tienes un 50% de posibilidades de haberte infectado si lo descargaste entre el martes 2 a las 14:30 hasta el sábado 6 a las 11:00.

La versión infectada con malware tiene la misma apariencia que la original:

La app comienza como se supone pero le han añadido una “salsa secreta”:

El que nos pida que tiene que añadir unos nuevos codecs debe ser la señal de alarma que nos indique que algo va mal.

Este es un viejo truco que los ciberdelincuentes llevan usando mucho tiempo, por lo que nunca deberíamos introducir nuestra contraseña en este tipo de situaciones. Un editor de vídeo decente no tendría porque pedir la instalación de nuevos codecs.

Eliminando el malware

Desde la ventana de la terminal, teclea los siguientes comandos:

$ killall HandBrake

$ launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist

$ rm -rf /tmp/HandBrake.app (si existe)

$ rm -rf ~/RenderFiles/activity_agent.app (si existe)

También busca en la carpeta ~/Library/VideoFramewords (si existe) alguno de los siguientes ficheros: KC.zip, CR.zip, CR_def.zip, FF.zip, SF.zip, OP.zip, GNU_PG.zip o proton.zip.

Si aparece proton.zip, también encontraremos alguno de los otros ficheros. Estos contienen información personal. Todos los ficheros deben ser eliminados.

Por último borraremos cualquier copia del instalador si lo hemos descargado.

¿Qué hacer?

Si has instalado HandBrake fuera del período de tiempo mencionado anteriormente, no tienes de que preocuparte. Si lo has hecho en ese período de tiempo tienes un 50% de posibilidades de estar infectado.

No tienes nada que temer si simplemente lo has actualizado recientemente.

En caso de estar infectado debes proceder a eliminar el malware, como ya hemos explicado, y a cambiar todas tus contraseñas. También te recomendamos que uses la autenticación de doble factor siempre que puedas, ya que añade un nivel adicional de seguridad con el que las contraseñas, por si solas, no valen de mucho.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: