Medya işleme yazılımı HandBrake'in yapımcıları, aracın Mac sürümünün bazen trojan ile gelebildiğini duyurdu. Uygulamayı 2 Mayıs ile 6 Mayıs arasında Mac'te "download.handbrake.fr" adresinden indirmiş olanların trojanı sistemlerine bulaştırmış olma ihtimalleri, yüzde 50.
Otomatik olarak güncellenen uygulamaların ve birincil mirror sunucusunun trojan içermediği bilgisi veriliyor. Trojanın ortaya çıkma nedeni, saldırganların "HandBrake-1.0.7.dmg" adlı dosyayı trojanlı bir dosyayla değiştirmiş olmaları. Kurulum dosyasını bahsedilen tarihler arasında indirdiyseniz, Mac'in Activity Monitor uygulamasını açıp "Activity_agent" adında bir işlemin çalışıp çalışmadığına bakın. Eğer böyle bir işlem görüyorsanız, trojan sisteminize bulaşmış demektir.
Kurulum dosyası Mac'inizde duruyorsa, aşağıdaki checksum'lara sahip olup olmadıklarını da kontrol edebilirsiniz. İşte trojan'lı kurulum dosyalarının checksum'ları:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Trojanı Kaldırma
Neyse ki trojanı sisteminizden temizlemek oldukça kolay. Launchpad'den Terminal'i aratarak çalıştın ve aşağıdaki komutları girin:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app
Son olarak ~/Library/VideoFrameworks/ klasöründe proton.zip adlı bir dosya varsa, bu dosyayı silin.
Trojan, hassas parolaları ve bilgileri hedef aldığından, Apple'ın macOS KeyChain hizmetinde veya benzer parola depolama hizmetlerinde depoladığınız parolaların hepsini değiştirmeniz öneriliyor. Parolalar çoktan saldırganların eline geçmiş olabileceğinden, onları bu hizmetlerden silmenin işe yaramayacağını unutmayın.