Handbrake est une application bien connue sur Mac, elle permet d’encoder ses vidéos avec l’aide de plusieurs codecs et de faire plusieurs ajustements. Il y a problème toutefois : les serveurs d’Handbrake ont connu une attaque et un malware a été injecté.

Sur ses forums, l’équipe d’Handbrake indique que les utilisateurs ayant téléchargé et installé l’application entre le 2 mai et le 6 mai sont concernés. C’est le serveur français (download.handbrake.fr) qui a été attaqué ici. Des hackers ont réussi à modifier le fichier d’origine par une version modifiée intégrant le malware Proton. Celui-ci peut récupérer des informations personnelles du Mac, dont les mots de passe.

Comment vérifier si on est infecté ? Il faut ouvrir l’utilitaire Moniteur d’activité (installé par défaut sur Mac) et vérifier si un processus « Activity_agent » existe. Si c’est le cas, le malware Proton est présent sur le Mac. Pour le supprimer, il faut ouvrir l’utilitaire Terminal (installé par défaut sur Mac) et entrer les commandes suivants :

  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app
  • if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Par la suite, il faut désinstaller Handbrake. Il est possible de réinstaller l’application en s’assurant de la télécharger à nouveau depuis les serveurs.

Ce type d’attaque au niveau des serveurs pour modifier l’application est similaire à celle connue par Transmission il y a quelques mois. Pour le coup, il s’agissait d’un ransomware — du premier sur Mac qui plus est.