Плеер Elmedia Player и менеджер закачек Folx были заражены троянцем OSX/Proton

Компания ESET выявила кибератаку на пользователей macOS. Хакеры взломали сайт компании-разработчика Eltima и распространяли зараженные троянцем OSX/Proton версии популярных приложений: мультимедийного плеера Elmedia Player и менеджера закачек Folx. Эксперты ESET сообщили о взломе разработчику, тот уже устранил угрозу и сообщил о возобновлении раздачи легитимного ПО.

Троянец для удаленного доступа OSX/Proton продавался на подпольных форумах с марта 2017 года. В нем предусмотрены функции для кражи данных, включая информацию о пользователе и операционной системе, список установленных приложений, данные браузеров, номера криптовалютных кошельков, данные связки ключей macOS, сохраненные логины и пароли.

Для атаки хакеры создали подписанную действующим сертификатом (в настоящее время сертификат отозван Apple) оболочку вокруг легитимного приложения Elmedia Player и троянца Proton. После скачивания с сайта Eltima оболочка запускала настоящий медиаплеер, а затем выполняла в системе код Proton. Троянец выводил на экран поддельное окно авторизации, чтобы получить права администратора.

ESET рекомендует всем пользователям, недавно загружавшим ПО с сайта Eltima, проверить систему на предмет компрометации. На заражение указывает присутствие любого из следующих файлов или каталогов: /tmp/Updater.app/, /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist, /Library/.rand/ или /Library/.rand/updateragent.app/.

Поделиться с друзьями
ASTERA