Nul
Elmedia Player downloads waren besmet met Trojan malware.
Beeld: Getty
Downloads van een populaire Mac OSX media speler en een begeleidende download manager waren geïnfecteerd met de trojan malware na de ontwikkelaar servers gehackt.
Elmedia Player door Eltima software ontwikkelaar heeft meer dan een miljoen gebruikers, van wie sommigen hebben wellicht ook onbewust geïnstalleerd Proton, een Remote Access Trojan die specifiek gericht is op Mac ‘ s voor de doeleinden van spionage en diefstal. Aanvallers ook in geslaagd een compromis te sluiten met een tweede Eltima product – Folx – met dezelfde malware.
De Proton achterdeur biedt aanvallers met een bijna volledige weergave van het gecompromitteerde systeem, waardoor de diefstal van browser informatie, keylogs, gebruikersnamen en wachtwoorden, cryprocurrency portemonnee, macOS sleutelhanger gegevens en meer.
In een e-mail naar ZDNet, een Eltima woordvoerder zei dat de malware werd verspreid met downloads als gevolg van hun servers wordt “gehackt” na aanvallers “een inbreuk op de beveiliging in de tiny_mce JavaScript-bibliotheek op onze server”
Het compromis kwam aan het licht op oktober 19, wanneer cyber security onderzoekers van ESET gemerkt dat de Elmedia Player was de distributie van Proton trojan malware. Gebruikers worden gewaarschuwd als ze de software gedownload van Eltima op die dag vóór 3:15 uur EDT, hun systeem is in gevaar zijn gebracht door de malware.
Als een van de volgende bestanden of mappen op het systeem, betekent dit dat de trojanised versie van Elmedia Player is geïnstalleerd op het systeem.
/tmp/Updater.app/ de /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist /Library/.rand/ /Bibliotheek/.rand/updateragent.app/
Op een of andere manier, de aanvallers zijn erin geslaagd om het bouwen van een ondertekend wrapper rond de legitieme media player, die resulteerde in een Proton wordt gebundeld, samen met het. Inderdaad, onderzoekers zeggen dat ze observeerden de ondertekening van de wrappers, die zich allen met dezelfde Apple Developer ID.
De ID is inmiddels ingetrokken door Apple en Eltima en ESET werken met Apple om uit te vinden hoe de kwaadaardige actie kon worden ondernomen in de eerste plaats. Een Eltima woordvoerder vertelde ZDNet dat terwijl de schadelijke command and control server werd geregistreerd op 15 oktober, geen malware verspreid tot 19 oktober.
Voor die ongelukkige slachtoffer van deze aanval, die alleen betrokken bij het nieuwe downloads van Elmedia Player, automatische updates waren niet in gevaar, de enige manier om zich te ontdoen van de malware is ondergaan een volledige OS opnieuw installeren.
Slachtoffers zijn ook gewaarschuwd dat ze moeten nemen van “passende maatregelen” te nemen om ervoor te zorgen dat hun gegevens niet kunnen worden misbruikt door kwaadwillenden.
Gebruikers zijn nu in staat om te downloaden op een schone versie van Elmedia Player van de Eltima website, die ESET zegt is nu vrij van compromissen.
In reactie op het incident, Eltima zegt dat het maatregelen heeft genomen om het te beschermen tegen toekomstige aanvallen en verbeteren van de beveiliging van de server.
Een Apple-woordvoerder vertelde ZDNet het bedrijf “in dit stadium hebben we niets toe te voegen”.
Het is niet de eerste keer dat het Proton is verspreid via het gebruik van een supply-chain-aanval. In Mei gebruikers die recent gedownloade de Handrem video transcoder voor Apple Mac waren gewaarschuwd hoe er een 50/50 kans hebben gedownload op de toepassing van een verlaagde spiegel waar je de os x Trojan.
LEES MEER OVER CYBER CRIME
Nieuwe Mac ransomware, backdoor bedreigingen emergeRansomware-as-a-service plannen zijn nu gericht op Macs tooMac ‘Drosophila’ malware variant nog steeds op de loer in het wild [CNET]Kijk uit voor dit geld stelen van macOS malware die bootst uw online bank Wat doen macOS en Android gemeen? Beide zijn booming malware markten [TechRepublic]
0