Les utilisateurs du logiciel HandBrake sur Mac en ont peut-être obtenu une version frelatée s’ils l’ont installé récemment. Les développeurs avertissent qu’un fichier infecté a été placé à leur insu sur leurs serveurs de téléchargement. On peut cependant se débarrasser du malware.
HandBrake est un logiciel open source très connu dans le domaine des conversions de vidéos, qui se veut relativement simple à utiliser. Le type d’application tout-en-un et prenant l’utilisateur par la main qui a fait son succès. Mais à l’instar de ce que l’on avait pu voir avec Transmission l’année dernière, le site officiel s’est mis à distribuer pendant quelques jours une version infectée de HandBrake, avec un malware caché dans ses entrailles.
Une variante du malware OSX.PROTON
On ne sait pas exactement ce qui s’est passé, mais les serveurs de téléchargement de HandBrake ont distribué ce malware entre les 2 et 6 mai. En tenant compte de la « célébrité » du logiciel, ce sont pratiquement cinq journées entières durant lesquelles les internautes ont peut-être été infectés.
« Peut-être » parce que les développeurs indiquent qu’il y a une chance sur deux pour que la mouture téléchargée contienne le malware (selon le miroir choisi pour l’internaute). Ce dernier est une variante d’OSX.PROTON, un outil d’accès distant (RAT, pour Remote Access Tool) somme toute assez classique, avec toutes les fonctionnalités qu’on peut attendre pour les pirates : surveillance des frappes au clavier, prise de captures d’écran, vol de fichiers, exécution de commandes, accès distant, etc.
Ces actions ne sont autorisées que si l'attaquant parvient à obtenir les droits administrateurs, ce qui ne peut être donné que par le mot de passe de l’utilisateur. HandBrake n’en réclamant pas, les pirates ont glissé une fausse fenêtre demandant l’installation d’un pack de codecs. En temps normal, le logiciel n’en a pour information pas besoin.
Le malware facile à détecter et à supprimer
Heureusement pour l’utilisateur, le malware n’est pas un as du camouflage et ses techniques n’ont rien d’époustouflant… même si sa capacité de nuire est entière et qu’il peut faire de nombreux dégâts s’il parvient à s’activer.
Pour savoir si vous êtes infecté, il suffit d’ouvrir le Moniteur d’activité (Dossiers Outils dans Applications) et de vérifier si une ligne « Activity_agent » apparaît. Si c’est le cas, c’est que votre Mac est contaminé. Cela étant, vous le saviez déjà peut-être si vous vous souvenez avoir donné votre mot de passe pour une installation de codecs.
Pour supprimer le malware, il suffit d’exécuter ces commandes dans le Terminal :
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
Notez que ces commandes ne s’occupent que de l’agent résident. Il faut dans tous les cas supprimer l’application en déplaçant l’icône dans le dossier Applications vers la Corbeille (et la vider tant qu’à faire). En outre, si un fichier proton.zip se trouve dans le dossier /Library/VideoFrameworks/, il faudra également l’expédier dans les limbes.
Un type d’infection dont il est difficile de se méfier
Qui que soient les responsables de cette contamination, le vecteur choisi fonctionnera toujours pour une partie des utilisateurs. Même si HandBrake demande quelques connaissances, il est suffisamment simple pour attirer tout un chacun. Un internaute n’a a priori aucune raison de se méfier d’un site officiel.
C’est bien là tout le problème, comme le cas de Transmission l’avait prouvé l’année dernière. Le scénario était à peu près le même : une version frelatée de l’application avait été mise à disposition sur les serveurs officiels de téléchargement. Si l’utilisateur ne fait pas attention à ce qu’on lui demande, il peut aisément se faire avoir. C’est particulièrement vrai pour HandBrake : seuls ceux qui ont déjà utilisé le logiciel savent qu’il ne réclame pas le mot de passe et n’installe aucun codec.
En attendant, les développeurs indiquent qu’une enquête est en cours pour savoir ce qui s’est passé. La fonctionnalité XProtect de macOS a également été mise à jour par Apple, les nouvelles installations de cette version contaminée ne devraient donc plus être possibles.
