Bei der Malware handelt es sich um eine neue Variante von „Proton“, die im schlimmsten Fall sogar Zugriff auf gespeicherte Passwörter hatte. Um festzustellen, ob das eigene System infiziert ist, reicht ein Blick in den Aktivitätsmonitor: Falls dort ein Prozess mit der Bezeichnung „Acticvity_agent“ aufgelistet wird, ist das System mit Proton infiziert, wie heise online berichtet. Die Entfernung des Trojaners ist mittels Befehlen über die Kommandozeile möglich, die genaue Vorgehensweise listet Handbrake im eigenen Forum auf.
Der Trojaner war von Hackern auf den Mirror-Server download.handbrake.fr eingeschleust worden, der mittlerweile vom Handbrake-Team deaktiviert wurde. Alle anderen Downloadserver waren nicht betroffen, wer Handbrake über den Programm-internen Updater aktualisierte, sollte auf die Versionsnummer der macOS-Software achten: Alle Versionen seit Handbrake-Version 1.0 sind sicher, wer eine ältere Software genutzt hatte, sollte sein System ebenfalls überprüfen.
Nach der Entfernung von Proton sollten betroffene Nutzer allerdings sämtliche Passwörter ändern: Der Trojaner hat unter Umständen Zugriff auf Passwortmanagertools wie den macOS Schlüsselbund gehabt, daher ist eine Änderung aller Passwörter unumgänglich. Auch im Browser abgespeicherte Logins sollten bei dieser Gelegenheit erneuert werden.
Apple ist über die neue Malware ebenfalls informiert und dürfte in Kürze seine Malwareschutzdatenbank XProtect aktualisiert haben. Damit sollte Proton erst einmal das Handwerk gelegt sein. Normalerweise sind Apple-Nutzer vor Malware recht gut gefeit, in diesem Falle könnten sie also recht unvorbereitet getroffen worden sein. Es bleibt zu hoffen, dass die Sache in diesem Ausmaß ein Einzelfall bleibt.
