Hack Apple – HandBrake nasconde un malware che infetta i Mac

14 Maggio 2017

Hack Apple – HandBrake nasconde un malware che infetta i Mac

Nei giorni scorsi un gruppo di hacker ha violato uno dei server per il download del famoso strumento di transcodifica video HandBrake, sostituendo poi la versione legittima del software con un malware per Mac.

Cosa è HandBrake

Handbrake è un transcoder video ossia un programma che permette di convertire un file da un formato all’altro consentendo l’utilizzo di differenti codifiche.
Si tratta di un famosissimo software libero (distribuito sotto licenza GNU GPLv2), opensource, che permette di decodificare e ricodificare il flusso dati passando da una codifica ad un’altra.
Handbrake permette l’uso di diversi codec (MPEG-2, MPEG-4, Theora) anche se viene suggerito l’impiego di H.264, un formato standard per la compressione dei video digitali ampiamente utilizzato nell’industria cinematografica e, soprattutto, per la distribuzione dei dischi che ospitano contenuti ad alta definizione.
Per quanto riguarda le tracce audio, la scelta ricade su AAC (Advanced Audio Coding), formato di compressione che, con un egual fattore di compressione, offre una qualità sonora superiore rispetto al noto MP3. Il formato AAC viene oggi comunemente utilizzato da Apple sul servizio iTunes ed è diventato di recente uno standard di fatto su molte console videoludiche.

Il software dà modo anche di convertire DVD in file MKV o in altri formati. Il termine che si utilizza generalmente in questi casi è “rippare” (dall’inglese to rip, che significa strappare): il contenuto digitale, infatti, viene “strappato” dal supporto DVD per essere trasportato su un’unità di memorizzazione (ad esempio, l’hard disk).

Handbrake, oltre a supportare i principali codec video, integra una serie di strumenti per l’ottimizzazione del flusso video e l’eliminazione di eventuali disturbi. Nel caso dei supporti DVD, il programma è capace di elaborare e riprodurre i sottotitoli oltre alle varie tracce audio.

Come si è propogata l’infezione del malware tramite HandBrake

I primi utenti Mac a venire a conoscenza dell’accaduto sono stati quelli che collegandosi al sito dell’app https://handbrake.fr, visualizzando un link collegato al seguente “Avviso di protezione”:

Chiunque abbia scaricato HandBrake su Mac tra il 2 Maggio e il 6 Maggio deve verificare il valore del checksum SHA1 / 256 del file prima di eseguirlo.

Nel caso in cui si sia installato HandBrake per Mac occorrerà controllare che il proprio sistema non sia stato infettato da un Trojan, considerato che durante il periodo indicato ci sono state il 50% delle possibilità di aver scaricato un malware al posto del vero HandBrake.

Gli utenti dovrebbero verificare che le loro soluzioni di sicurezza per Mac siano in grado di rilevare questa ultima variante del malware Proton che consente l’accesso remoto alle macchine infettate.

La triste verità è che gli utenti Mac in genere non utilizzano un prodotto antivirus a differenza di chi usa Windows – ciò li rende un facile bersaglio per i criminali informatici che decidono di prendere di mira la piattaforma Apple. Anche se negli ultimi anni l’uso di soluzioni di sicurezza per Mac è in continua crescita come anche la diffusione di nuove minacce, i numeri sono ancora lontani da quelli degli utenti Microsoft.

È vero quindi che ci sono molti meno malware per Mac OS X che per Windows, ma questa è una magra consolazione per gli utenti Apple vittima di un’infezione, per cui indipendentemente dal sistema in uso navigare su Internet senza un’efficace soluzione antimalware è estremamente pericoloso.

Analizzando il comportamento dell’app infetta, abbiamo notato come a differenza dell’HandBrake originale, questa una volta scaricata ha mostrato una strana finestra di dialogo all’avvio in cui si chiedeva di inserire la password per “installare codec aggiuntivi”. Pur rifiutando questa richiesta di aggiornamento successivamente si presenta un’altra finestra, non legata a HandBrake e apparentemente associata al “Network Configuration” che ha bisogno della password di sistema per “aggiornare le impostazioni DHCP”. Anche tentando di chiudere questo messaggio la finestra viene continuamente riproposta e l’unica soluzione per chiuderla definitivamente è riavviare il dispositivo.

I produttori di HandBrake consigliano agli utenti di controllare il checksum SHA quando scaricano nuove versioni dell’app dal sito, anche se è difficile immaginare che la maggior parte delle persone sia così attenta a questi dettagli tecnici.