Video-Tool Handbrake für Mac enthielt Malware

Die Entwickler des Open-Source-Video-Tools Handbrake weisen in einer Sicherheitswarnung darauf hin, dass einer ihrer Download-Server von Hackern kompromittiert wurde. Die unbekannten Täter schleusten demnach einen Trojaner in das Installationspaket ein. Betroffen sind allerdings nur Nutzer von Apples Desktop-Betriebssystem macOS.

Die manipulierte Handbrake-Version wurde ab 2. Mai (16.30 Uhr) verteilt. Verfügbar war sie bis 6. Mai (13 Uhr). Bei dem Trojaner handelt es sich um eine neue Variante von OSX.Proton, der seinen Hintermännern einen Fernwartungszugang zu einem infizierten Mac einrichtet. Die Hacker können anschließend in Echtzeit Screenshots und Tastatureingaben aufzeichnen, weitere Malware installieren und auf die Webcam zugreifen.

Dem Advisory zufolge liegt die Wahrscheinlichkeit, in dem genannten Zeitraum eine malwareverseuchte Version von Handbrake heruntergeladen zu haben, bei 50 Prozent. Betroffene Nutzer sollten den SHA1- oder SHA256-Hashwert ihrer Installationsdatei überprüfen. Die Werte SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 und SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793 sind ein Beleg für eine Infektion mit dem Remote Access Trojan. Ein weiteres Indiz ist ein Prozess namens „Activity_agent“ im OSX-Aktivitätsmonitor.

Handbrake liefert auch eine Anleitung zur Entfernung des Trojaners. Betroffene müssen unter anderem zwei Befehle im Terminal eingeben, einen Ordner löschen und die Handbrake-App deinstallieren. Darüber hinaus empfehlen die Entwickler, alle Passwörter zu ändern, die in OSX Keychain oder einem installierten Browser hinterlegt sind, da man nach einer Infektion mit dem Trojaner eine vollständige Kompromittierung des Systems unterstellen muss.

Apple ist inzwischen über den Vorfall informiert. Das Unternehmen verteilt seit dem Wochenende neue Definitionen für die Sicherheitsfunktion XProtect, die eine Infektion mit dem Trojaner verhindern sollen. In dem Zeitraum, in dem die Handbrake-Server den Trojaner anboten, war jedoch kein Antivirus-Programm in der Lage, die Schadsoftware zu erkennen. Darauf weist der Blog Objective-See hin, der die infizierte Installationsdatei am Samstag bei VirusTotal eingereicht hat.

Die Entwickler betonen, dass nur die Installationsdatei „Handbrake-1.0.7.dmg“ auf dem Download-Server „download.handbrake.fr“ manipuliert wurde. Weder die Handbrake-Website noch der primäre Download-Server oder die Update-Funktion von Handbrake 1.0 oder später waren betroffen. Allerdings könnte der Trojaner im Rahmen eines automatischen Updates der Version 0.10.5 oder früher eingeschleust worden sein.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.