Всемирно известная компания ESET, международный разработчик антивирусного программного обеспечения и решений в области компьютерной безопасности для корпоративных и домашних пользователей, выявила кибератаку на пользователей macOS. Хакеры взломали сайт компании-разработчика Eltima и распространяли зараженные трояном OSX/Proton версии популярных приложений. Этой хакерской атаке подверглись мультимедийный плеер Elmedia Player и менеджер закачек Folx.
Эксперты международной компании ESET обнаружили зараженные приложения на сайте Eltima 19 октября 2017 года. После предупреждения разработчики оперативно устранили угрозу. А затем сообщили о возобновлении раздачи легитимного софта.
OSX/Proton – троян для удаленного доступа, продававшийся на подпольных форумах начиная с марта 2017 года. В нем были предусмотрены функции для кражи данных, включавших в себя в том числе информацию о пользователе и операционной системе, а также список установленных приложений, данные браузеров, номера криптовалютных кошельков, данные связки ключей macOS, сохраненные логины и пароли.
Для атаки хакеры создали подписанную действующим сертификатом, который в настоящее время уже отозван компанией Apple, оболочку вокруг легитимного приложения Elmedia Player и трояна Proton. После скачивания с сайта Eltima оболочка запускает настоящий медиаплеер, а затем выполняет в системе код Proton. Троян выводит на экран поддельное окно авторизации, чтобы получить права администратора.
Подобная схема уже была применена ранее для распространения вредоносного ПО для macOS. Ещё в 2016 году дважды взламывался торрент-клиент Transmission – в первом инциденте фигурировал шифратор OSX/KeRanger, а во втором – инструмент для кражи паролей OSX/Keydnap. В 2017 году приложение Handbrake для кодирования видео на Мас было заражено трояном Proton.
Специалисты компании ESET настоятельно рекомендуют всем пользователям, которые недавно загрузили программное обеспечение с сайта Eltima, проверить систему на предмет компрометации. На заражение указывает присутствие любого из следующих файлов или каталогов перечисленных ниже:
• /tmp/Updater.app/
• /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
• /Library/.rand/
• /Library/.rand/updateragent.app/
Антивирусные продукты ESET детектируют угрозу как OSX/Proton. Подробная информация об инциденте и устранении угрозы доступна в блоге ESET на Хабрахабре.