Загроза OSX/Proton поширюється через популярний медіаплеєр для Mac

Компанія ESET — лідер в галузі проактивного виявлення — попереджає про поширення шкідливого бекдору OSX/Proton через інфіковану версію медіаплеєра Elmedia Player. Спеціалісти ESET відразу повідомили компанію-постачальника Eltima про виявлення загрози та підтримували продуктивне спілкування з Eltima протягом всього інциденту.

Даним бекдором може бути інфіковане програмне забезпечення, яке було завантажене та інстальоване 19 жовтня до 15:15. За попередніми даними спеціалістів ESET, лише версія, завантажена з веб-сайту Eltima, містить загрозу. Вбудований автоматичний механізм оновлення інфіковано не було.

Бекдор OSX/Proton володіє розширеними можливостями для крадіжки даних. Зокрема загроза може збирати дані про операційну систему, інформацію з браузерів Chrome, Safari, Opera та Firefox, дані про гаманці криптовалют Electrum, Bitcoin Core, Armory, особисту інформацію SSH, дані ключів macOS, конфігурацію Tunnelblick VPN, дані GnuPG, паролі, список усіх встановлених програм.

У зв’язку з небезпекою інфікування бекдором спеціалісти ESET рекомендують користувачам, які нещодавно завантажили програмне забезпечення Elmedia Player, перевірити наявність на пристрої будь-якого з цих файлів або каталогу:

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/ 

Виявлення будь-якого з цих файлів свідчить про те, що інфікована версія Elmedia Player була завантажена, а бекдор OSX/Proton, ймовірно, активований на пристрої.

Як і у випадку будь-якого інфікування облікового запису адміністратора, повна повторна інсталяція операційної системи є єдиним надійним способом позбутися загрози. Жертвам також слід розуміти, що вся інформація, згадана в переліку раніше, може бути у руках зловмисників, та вжити необхідних заходів.

Нагадаємо, у минулому році Mac Bittorrent клієнт Transmission був інфікований загрозами двічі — спочатку вимагачем OSX/KeRanger, а потім викрадачем паролів OSX/Keydnap. Крім цього, додаток Video-transcoder Handbrake поширювався у комплекті з OSX/Proton.

Тепер ще одне популярне програмне забезпечення для Mac — медіаплеєр Elmedia Player, кількість користувачів якого цього літа досягло 1 000 000 — було використано для розповсюдження загрози OSX/Proton.

У зв'язку з підвищеною активністю шкідливих програм спеціалісти компанії ESET рекомендують користувачам бути дуже обережними під час роботи в мережі Інтернет, а також використовувати комплексні антивірусні рішення для ефективного захисту особистих даних і конфіденційної інформації.

Детальніше про загрозу — за посиланням.