macOS应用Elmedia Player被植入木马，赶紧卸载咯！

在开发者的服务器遭到入侵后，一款受欢迎的 Mac OSX 媒体播放器和一款配套的下载管理器的下载感染了木马病毒。软件开发商 Eltima 的 Elmedia Player 应用拥有超过一百万用户，其中一些人可能也无意中安装了 Proton，这是一种远程访问木马，专门针对 mac 电脑，目的是入侵和盗窃用户信息。攻击者还设法通过同样的恶意软件，破坏了另一款 Eltima 产品——Folx。

Proton 后门系统为攻击者提供了几乎完整的入侵系统视图，可以窃取浏览器信息、密钥日志、用户名和密码、加密货币钱包、macOS keychain 数据等等。

在给外界媒体的一封电子邮件中，Eltima 的发言人表示，该恶意软件是通过下载来分发的，因为攻击者“在我们上的 tinymce JavaScript 库中使用了未知安全漏洞”。

这一事件最早于 10 月 19 日被曝光，当时该公司的网络安全研究人员注意到 Elmedia Player 正在分发 Proton 木马恶意软件。如果用户在美国东部时间下午 3:15 之前从 Eltima 下载了软件，那么他们的系统可能已经被恶意软件攻陷。

如果系统上有下列文件或目录，则意味着系统上安装了 Elmedia Player 的木马病毒：

/tmp/Updater.app/

/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

/Library/.rand/

/Library/.rand/updateragent.app/

不知通过何种方式，攻击者设法在正常媒体播放器周围建立了一个签名的包装器，从而导致了 Proton 病毒与之捆绑在一起。事实上，研究人员表示，他们观察到了包装器的签名，所有这些包装都是用同一个苹果开发者 ID 进行的。

Eltima 已经通报苹果已经撤销了这一 ID，并与苹果合作，以查明最初的恶意行为是如何进行的。一名 Eltima 的发言人告诉媒体，虽然恶意的命令和控制程序是在 10 月 15 日注册的，但直到 10 月 19 日软件才开始散布恶意木马。

对于那些不幸成为此次攻击的受害者——这种攻击只涉及到 Elmedia Player 的最新下载，自动更新没有被攻破——摆脱恶意软件的唯一办法是进行完整的操作系统重新安装。

受害者还被警告说，他们应该采取“适当的措施”来确保他们的数据不能被攻击者利用。

用户现在可以从 Eltima 网站下载一款干净的 Elmedia Player，该公司表示现在已经没有任何不受控制的病毒或木马危害了。

作为对这一事件的回应，Eltima 表示，该公司已采取行动，防范未来的攻击，并改善服务器安全。不少新闻媒体就这件事询问了苹果，公司的一位发言人回应道，“在目前这个阶段，我们没有什么可补充的”。

这并不是 Proton 木马第一次通过供应源攻击的方式进行感染。今年 5 月，刚刚下载了苹果 Mac 的 HandBrake 视频转码器的用户们就被告知，有 50% 的几率从一个泄露的镜像文件中感染了该木马。