Mac OSX Trojan, malware spredes via kompromitteret software downloads

0
14

Nul

istock-trojan-horse.jpg

Elmedia Afspiller downloads blev kompromitteret med malware, Trojanske.

Billede: Getty

Downloads af en populær Mac OSX media player og en ledsager download manager blev inficeret med trojan, malware efter developer ‘ s servere blev hacket.

Elmedia Spiller som software udvikler, Eltima har over en million brugere, og nogle af dem har måske også ubevidst installeret Proton, en Remote Access Trojan, som specifikt er rettet mod Mac-computere til de formål, for spionage og tyveri. Angribere også lykkedes at gå på kompromis et andet Eltima produkt – Folx – med den samme malware.

Proton bagdør giver angribere, med en næsten fuld visning af kompromitteret system, så tyveri af browser-oplysninger, keylogs, brugernavne og passwords, cryprocurrency tegnebøger, macOS nøglering data og meget mere.

I en e-mail til ZDNet, en Eltima talsmand sagde, at malware blev fordelt med downloads, som et resultat af deres servere er “hacket” efter angribere “anvendes et sikkerhedsproblem i tiny_mce JavaScript-bibliotek på vores server”

Det kompromis, der kom frem på oktober 19, når cyber security forskere på ESET bemærket Elmedia Spiller blev distribuere Proton trojan, malware. Brugere advares, hvis de har downloadet softwaren fra Eltima på, at dagen før 3:15 EDT, deres system kan have været kompromitteret med malware.

Hvis nogen af følgende filer eller mapper på systemet, betyder det, at trojanised version af Elmedia Player er installeret på systemet.

/tmp/Updater.app ‘ / /Bibliotek/LaunchAgents/kom.Eltima.UpdaterAgent.plist /Bibliotek/.rand/ /Bibliotek/.rand/updateragent.app/

På en eller anden måde, angriberne formået at opbygge en underskrevet wrapper omkring den legitime media player, hvilket resulterede i Proton er bundtet sammen med det. Ja, forskere siger, at de observerede underskrivelsen af indpakningen, som alle fandt sted med den samme Apple-Udvikler-ID.

ID ‘ et er siden blevet tilbagekaldt af Apple og Eltima og ESET arbejder med Apple om at finde ud af, hvordan den skadelige handling, var i stand til at blive taget i første omgang. En Eltima talsmand fortalte ZDNet, at mens den skadelige kommando og kontrol-server blev registreret den 15 oktober, ikke malware, som blev uddelt indtil oktober 19.

For de uheldige ofre for dette angreb – der kun inddrages nye downloads af Elmedia Afspiller, automatiske opdateringer ikke var truet – den eneste måde at slippe af med malware er at gennemgå et fuldt OS re-installation.

Ofrene bliver også advaret om, at de skal tage “de nødvendige skridt” for at sikre, at deres data ikke kan udnyttes af hackere.

Brugerne er nu i stand til at hente en ren version af Elmedia Spiller fra Eltima hjemmeside, hvor ESET siger, er nu gratis for kompromis.

I reaktion på hændelsen, Eltima siger, at det har taget skridt til at beskytte mod fremtidige angreb og forbedre server sikkerhed.

En Apple-talsmand fortalte ZDNet selskabet “i denne fase, vi har noget at tilføje”.

Det er ikke første gang, Proton er blevet distribueret via brugen af en supply-chain angreb. I Kan brugere, der for nylig havde hentet Håndbremsen video transcoder til Apple Mac blev advaret om, hvordan der var en 50/50 chance for at have downloadet programmet fra en kompromitteret spejl, der serverer op OSX Trojan.

LÆS MERE OM IT-KRIMINALITET

Nye Mac ransomware, bagdør trusler emergeRansomware-as-a-service ordninger er nu rettet mod Macs tooMac ‘Fruitfly” malware variant, der stadig lurer i naturen [CNET]Watch out for disse penge at stjæle macOS malware, som efterligner din netbank, Hvad gør macOS og Android har i til fælles? Både boomer malware markeder [TechRepublic]

0