HandBrake: Hacker schleusen Trojaner in Installationdatei

Thomas Konrad

Wieder ist es Angreifern gelungen, die Installationsdatei einer macOS-Anwendung mit einem Trojaner zu versehen. Diesmal ging die Gefahr vom populären Video-Transcoder HandBrake aus.

Auf ihrer Website verweisen die Entwickler von HandBrake auf einen Sicherheitshinweis für macOS-Nutzer: Wer Handbrake zwischen dem 2. Mai (ab 16:30 Uhr hiesiger Zeit) und dem 6. Mai (bis 13:00 Uhr hiesiger Zeit) heruntergeladen hat, muss vor der Installation die Prüfsummen für SHA1 und SHA256 prüfen, heißt es in dem Forumsbeitrag. Hilfe findet man in einem Github-Dokument.

Wenn HandBrake bereits installiert ist, stünden die Chancen für eine Infektion bei 50 zu 50, schreiben die Entwickler. Erkennen könne man das mithilfe der Aktivitätsanzeige, dem Taskmanager von macOS. Wer einen Prozess mit Namen „Activity_agent“ sieht, ist infiziert. Bei dem Trojaner handle es sich um eine neue Variante von OSX.PROTON.

Wie man den Trojaner entfernt, beschreiben die Entwickler ebenfalls in ihrem Warnhinweis. Mit dem Terminal sollte man hierbei vertraut sein. Im Anschluss muss man zudem sämtliche HandBrake-Installationen löschen.

macOS Sierra: Top-Funktionen im Video.

Nutzer zum Passwortwechsel aufgerufen

Die Entwickler rufen Nutzer mit infizierten Systemen zu einem umfangreichen Passwortwechsel auf. Alle Passwörter im macOS-Schlüsselbund und im Webbrowser sollten geändert werden.

Gefahr größtenteils gebannt

Apple hat den Malware-Schutz XProtect schnell aktualisiert. Das dürfte weitere Infektionen verhindern. Das gelte aber nicht uneingeschränkt, meint Patrick Wardle, Autor des Blogs Objective-See. Würden die Angreifer beispielsweise den Binärcode des Trojaners neu kompilieren,  könnten sie XProtect umgehen.

Der betroffene Download-Server download.handbrake.fr wird derzeit geprüft und ist nicht erreichbar. Entwarnung gibt es für Nutzer, die die neue HandBrake-Version 1.0.7 über die Auto-Update-Funktion ab Version 1.0 installiert haben. Wer eine ältere Version nutze, sollte sein System überprüfen.

In einem ähnlichen Fall gelang es Hackern im März 2016, den Torrent-Client Transmission mit einer Erpressungssoftware zu versehen.

Quelle: forum.handbrake.fr

Zu den Kommentaren

Kommentare zu dieser News

* Werbung