Eine Sicherheitswarnung der Entwickler des Open-Source-Video-Tools Handbrake weist darauf hin, dass einer der Downloadserver der Software von Hackern kompromittiert wurde.

Die Kriminellen schleusten der Warnung zufolge einen Trojaner in das Installationspaket ein – allerdings nur bei Nutzern des Apple-Betriebssystem macOS.

Die verseuchte Handbrake-Version wurde ab dem 2. Mai gegen 16.30 Uhr von diesem Downloadserver ausgeliefert, der Spuk endete am 6. Mai gegen 13 Uhr.

Bei dem mitgelieferten Trojaner handelt es sich um eine neue Version von OSX.Proton, der seinen Hintermännern einen Fernwartungszugang zu einem infizierten Mac bereitstellt. Darüber können die Hacker dann in Echtzeit Screenshots und Tastatureingaben aufzeichnen, zusätzliche Malware installieren und auch auf die Webcam zugreifen.

Wie man OSX.Proton erkennt

Nutzer, die Handbrake in diesen vier Tagen auf ihren Mac heruntergeladen haben, sollten jetzt dringend den SHA1- oder SHA256-Hashwert ihrer Installationsdatei überprüfen.

Die Werte SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 und SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793 zeigen eine Infektion mit dem Remote Access Trojaner an. Ein weiteres Indiz für die Kompromittierung des Rechners ist ein Prozess namens „Activity_agent“ im OSX-Aktivitätsmonitor.

Wer so feststellt, dass sein Mac infiziert ist, sollte alle Passwörter in der Keychain von macOS ändern, empfehlen die Handbrake-Entwickler. In der Tat ist der Trojaner OSX .Proton in der Lage, Passwörter mit seinem Keylogger mitzuschneiden.