Mac-Version von Handbrake mit Malware verteilt

Handbrake hatte 2016 nach 13 Jahren seine Betaphase verlassen.

Einer der Mirror-Server des populären Open-Source-Videoencoders wurde gehackt. macOS-Nutzer sollten prüfen, ob sie sich einen Datenschädling eingefangen haben, der Passwörter entwendet.

Einer der Mirror-Server der Mac-Version des beliebten Open-Source-Videotools Handbrake hat über mehrere Tage eine mit Malware infizierte Version der App verteilt. Das teilten die Entwickler am Wochenende in einem Advisory mit. Demnach steckte in dem Download neben Handbrake selbst eine neue Variante der Malware “Proton”, bei der es sich möglicherweise um einen vor einigen Monaten in Cybercrime-Foren gehandelten Schädling gleichen Namens handelt.

Ein Download-Server betroffen, ein anderer nicht

Laut Handbrake-Team hatten Nutzer zwischen dem 2. Mai und dem 6. Mai 2017 eine “50:50-Chance”, sich den infizierten macOS-Download eingefangen zu haben. Ist dieser auf dem Rechner, läuft ein Prozess namens “Activity_agent”, den man mit Hilfe der Aktivitätsanzeige des Betriebssystems auffinden kann. Das Handbrake-Team gab außerdem die SHA1- und SHA256-Checksummen des infizierten Download-Pakets durch. Um diese zu überprüfen, muss man das Dienstprogramm Terminal starten ? eine Anleitung mit den notwendigen Kommandos findet sich hier.

Details zur Entfernung von Proton in Handbrake

Eine Entfernungsanleitung für Proton hat das Handbrake-Team ebenfalls veröffentlicht. Auch hier muss man einen Ausflug ins Terminal unternehmen. Die notwendigen Befehle lauten:

  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app

Sollte der Ordner “~/Library/VideoFrameworks/” vorhanden sein und “proton.zip” enthalten, sollte dieser entfernt werden. Anschließend wird HandBrake.app selbst, das infizierte Hauptprogramm, gelöscht. Es liegt im Anwendungsordner.

Entfernung reicht nicht aus

Die Handbrake-Macher warnen davor, dass die Entfernung von Proton allein wahrscheinlich nicht ausreicht. Die Malware könnte Passwörter aus dem macOS-Schlüsselbund sowie den Passwortdatenbanken auf dem System installierten Browser entwendet haben. Die Entwickler empfehlen, “alle” dort vorgehaltenen Passwörter zu ändern ? was in vielen Fällen eine große Mühe bedeuten dürfte. Proton erhält Zugriff auf das System, weil das veränderte Handbrake beim ersten Start die Eingabe des Administrationspassworts “zur Installation zusätzlicher Codecs” verlangt.

Apple ist informiert

Apple wurde mittlerweile informiert ? der Konzern dürfte seine XProtect-Datenbank, die einen Ausführungsschutz für bekannte Malware darstellt, demnächst ergänzt haben. Infizierte Downloads sollen vom Server “download.handbrake.fr” gekommen sein, die mittlerweile offline genommen wurde. Der Hauptmirror von Handbrake war dagegen laut Handbrake-Team sauber.

Downloads, die mit dem Updater auf den Rechner kamen, der seit Version 1.0 von Handbrake verfügbar ist, sind laut Handbrake-Team ebenfalls nicht betroffen, weil diese mittels DSA-Signatur überprüft und gegebenfalls nicht installiert werden. Wurde der Updater von Version 0.10.5 oder früher genutzt, könnte man sich den Schädling ebenfalls eingefangen haben, weil hier die DSA-Überprüfung im Rahmen der Update-Funktion fehlt. Der Fall erinnert an einen in einer anderen freien App steckenden Schädling. Damals war ein macOS-P2P-Client betroffen: Transmission. (bsc)

Und hier Danke

  • Birkenfelder Rallyefahrer Felix Weisert wirbelt viel Staub auf

    Weisert setzt sich in seinem pinken BMW M3 E36 mit nur einer Zehntelsekunde Vorsprung vor Raphael Ramonat/Sara Phieler (Trusetal) im Mitsubishi Lancer Evo 7 und 2,3 Sekunden vor Jakko Keskinen/Sirpa Salonen (Finnland) im Mitsubishi Lancer Evo 9 durch. ?Ich kann es noch gar nicht so richtig glauben, dass wir diese Rallye für uns entscheiden konnten. […]

  • Developer Snapshots: Programmierer-News in ein, zwei Sätzen

    heise Developer fasst jede Woche bisher vernachlässigte, aber doch wichtige Nachrichten zu Tools, Spezifikationen oder anderem zusammen ? dieses Mal u.a. mit PHP, GitLab, der CryEngine, NativeScript-Trainings, Rails und dem AWS Toolkit for Eclipse. Hier die durchaus subjektive Auswahl an Nachrichten der vergangenen Woche: Das Rails-Team hat mit Version 5.0.4 und dem Release Candidate zu […]

  • Reisedaten: Speichern ohne Sinn und Verstand

    Wie alle, die schon einmal in die USA geflogen sind, weiß ich: Wer amerikanischen Boden betritt, muss eine Menge Daten preisgeben. Da ist die Befragung am Einreiseschalter und die Abgabe der Fingerabdrücke, die stille Weiterleitung der Buchungsdetails inklusive der Kreditkartendaten durch die Fluglinie an das US-Heimatschutzministerium, und die Fragen im bereits vor der Abreise auszufüllenden […]

  • Panasonic EXW784: Brillanter Fernseher im Test

    Testfazit: Das müssen Sie wissen Mit seinem tollen Fuß ragt der Panasonic TX-58EXW784 aus der Masse der Fernseher heraus: Der Fernseher lässt sich in vier verschiedenen Höhen montieren und horizontal schwenken. Auch die Technik überzeugte. So glänzte das Bild mit hervorragenden, sehr natürlichen Farben und gutem Kontrast. Die Ausstattung ist Panasonic-typisch komplett inklusive USB-Aufnahme unabhängig […]

  • Billard-Landesmeisterschaften mit Pforzheimer Sieger im Karambol-Dreiband

    In der Vorrunde wurde Dimmler Erster seiner Vierergruppe, Max Augenstein landete in seiner Gruppe auf Rang zwei hinter Titelverteidiger Jürgen Adler aus Viernheim. Somit kam es im Halbfinale zum Duell der Pforzheim, das Augenstein für sich entschied. Im Finale ging es für den Pforzheimer erneut gegen Adler. Während Augenstein dabei seinen besten Durchschnitt von 0,89 […]