Noll
Elmedia Spelare nedladdningar var nedsatt med Trojan malware.
Bild: Getty Images
Nedladdningar av en populär Mac OSX media player och tillhörande download manager var infekterad med trojan malware efter developer ‘ s servrar hackades.
Elmedia Spelare av Eltima software developer har över en miljon användare, och vissa av dem har kanske också omedvetet installerat Proton, en Remote Access-Trojaner som specifikt riktar Mac-datorer för tillämpningen av spionage och stöld. Angriparna lyckades också att angripa en andra Eltima produkt – Folx – med samma malware.
Proton bakdörr ger angripare med en nästan fullständig bild av den infekterade systemet tillåter stöld av webbläsaren information, keylogs, användarnamn och lösenord, cryprocurrency plånböcker, macOS nyckelring data och mycket mer.
I ett e-postmeddelande till ZDNet en Eltima talesperson sade att det skadliga programmet var distribueras med nedladdningar som ett resultat av sina servrar för att bli “hackad” efter angriparna “som används av en säkerhetsöverträdelse i tiny_mce JavaScript-bibliotek på vår server”
Den kompromiss som kom till ljus den 19 oktober, när it-säkerhet forskare vid ESET märkte Elmedia Spelare var distribuera Proton trojan malware. Användare varnas om de nedladdade programvaran från Eltima på att dagen innan 3:15 EDT, deras system har kan ha äventyrats av skadlig kod.
Om någon av följande filer eller kataloger som finns på systemet, innebär det att trojanised version av Elmedia Player är installerat på systemet.
/tmp/Updater.app/ /Biblioteket/LaunchAgents/com.Eltima.UpdaterAgent.plist /Library/.rand/ /Biblioteket/.rand/updateragent.app/
På något sätt anfallare lyckats bygga upp ett tecknat omslag runt den legitima media player vilket resulterade i Proton buntas tillsammans med den. Ja, forskare säger att de observerade undertecknandet av omslag, alla som inträffade med samma Apple Developer-ID.
ID har sedan återkallats av Apple och Eltima och ESET arbetar med Apple för att ta reda på hur den skadliga åtgärder kunde vidtas i första hand. En Eltima talesperson berättade ZDNet att medan skadligt kommando och kontroll server registrerades den 15 oktober, ingen skadlig kod delades ut fram till den 19 oktober.
För de olyckliga falla offer för denna attack – som endast omfattar nya nedladdningar av Elmedia Spelare, automatiska uppdateringar inte äventyras – det enda sättet att bli av skadlig kod är att genomgå en full OS-re-installation.
Offren är också varnat för att de ska vidta “lämpliga åtgärder” för att säkerställa att deras uppgifter inte kan utnyttjas av angripare.
Användare har nu möjlighet att ladda ner en ren version av Elmedia Spelare från Eltima webbplats, som ESET säger är nu fri som en kompromiss.
Svar till händelsen, Eltima säger att den har vidtagit åtgärder för att skydda mot framtida attacker och förbättra server security.
En Apple talesperson berättade ZDNet bolaget “i detta skede har vi inget att tillägga”.
Det är inte första gången Proton har distribuerats via användning av en supply-chain attack. I Maj användare som nyligen hade hämtat Handbromsen video omkodare för Apple Mac varnades hur det var en 50/50 chans att ha laddat hem programmet från en nedsatt spegel serverar OSX Trojan.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Nya Mac ransomware, bakdörr hot emergeRansomware-as-a-service-system är nu inriktade Mac tooMac ‘Fruitfly” malware variant fortfarande lurar i det vilda [MAG]Se upp för dessa pengar att stjäla macOS skadlig kod som efterliknar din online bank Vad gör macOS och Android har gemensamt? Båda är blomstrande malware marknader [TechRepublic]
0