動画ファイル変換ソフト「HandBrake」の「Mac」版を最近ダウンロードしたユーザーは、トロイの木馬型マルウェアに感染した可能性がある。

HandBrakeの開発チームが発表した警告によると、感染の恐れがあるのは、協定世界時（UTC）5月2日14時30分（日本時間5月2日23時30分）から5月6日11時00分（同5月6日20時00分）の間に、ミラーサイトの「download.handbrake.fr」からMac版のHandBrakeをダウンロードしたユーザーだという。

「Mac版のHandBrakeをインストールしたユーザーは、自身のシステムがトロイの木馬に感染していないことを確認する必要がある。該当の期間にHandBrakeをダウンロードしていた場合、50％の確率で感染している」とHandBrakeの開発チームは述べている。

このマルウェアに感染したユーザーは、「Mac OS X」のパスワード管理システム「キーチェーン」に保存しているログイン情報やブラウザに保存しているパスワードを、サイバー犯罪者に盗まれる危険性がある。

この危険があるのは、ミラーサイトの「download.handbrake.fr」からHandBrakeをダウンロードしたユーザーだ。OS Xの「アクティビティモニタ」アプリケーションで「Activity_agent」というプロセスの実行が確認された場合、そのシステムはトロイの木馬に感染しているため、すべてのパスワードを変更する必要がある。

HandBrakeのユーザーが感染した可能性のある今回のマルウェアは、「OSX.PROTON」の亜種だ。このマルウェアは、Macに侵入してスパイ活動や情報の窃取を実行できるツールとして、ロシアの地下フォーラムで定期的に出回っている。

OSX.PROTONは、キー入力の記録、スクリーンショットの撮影、ウェブカメラの操作など、さまざまなことを実行できるため、スパイやサイバー犯罪者が貴重な情報を盗み出すことが可能だ。

今回このマルウェアを仕込んだ者は、何らかの手段を用いて、HandBrakeのMac用ディスクイメージファイル（HandBrake-1.0.7.dmg）を悪質なファイルに置き換え、システムへの感染を可能にしていた。このマルウェアに感染したユーザーは、「ターミナル」アプリケーションを起動して以下のコマンドを実行したのち、システムにインストールされている「HandBrake.app」を削除する必要がある。

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist

rm -rf ~/Library/RenderFiles/activity_agent.app

if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

オープンソースソフトであるHandBrakeの開発チームは、二次的なダウンロード用ミラーサイトでファイルが置き換えられた原因をまだ突き止めていないが、問題のサーバは一時閉鎖して現在調査を行っているという。一方、AppleはOS Xのマルウェア対策機能「XProtect」を更新し、今回のマルウェアが検出されるようにした。