macOS应用Elmedia Player被植入木马,赶紧卸载咯!

在开发者的服务器遭到入侵后,一款受欢迎的 Mac OSX 媒体播放器和一款配套的下载管理器的下载感染了木马病毒。软件开发商 Eltima 的 Elmedia Player 应用拥有超过一百万用户,其中一些人可能也无意中安装了 Proton,这是一种远程访问木马,专门针对 mac 电脑,目的是入侵和盗窃用户信息。攻击者还设法通过同样的恶意软件,破坏了另一款 Eltima 产品——Folx。

Proton 后门系统为攻击者提供了几乎完整的入侵系统视图,可以窃取浏览器信息、密钥日志、用户名和密码、加密货币钱包、macOS keychain 数据等等。

在给外界媒体的一封电子邮件中,Eltima 的发言人表示,该恶意软件是通过下载来分发的,因为攻击者“在我们上的 tinymce JavaScript 库中使用了未知安全漏洞”。

这一事件最早于 10 月 19 日被曝光,当时该公司的网络安全研究人员注意到 Elmedia Player 正在分发 Proton 木马恶意软件。如果用户在美国东部时间下午 3:15 之前从 Eltima 下载了软件,那么他们的系统可能已经被恶意软件攻陷。

203547336ca4465 macOS应用Elmedia Player被植入木马,赶紧卸载咯!

如果系统上有下列文件或目录,则意味着系统上安装了 Elmedia Player 的木马病毒:

/tmp/Updater.app/

/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

/Library/.rand/

/Library/.rand/updateragent.app/

不知通过何种方式,攻击者设法在正常媒体播放器周围建立了一个签名的包装器,从而导致了 Proton 病毒与之捆绑在一起。事实上,研究人员表示,他们观察到了包装器的签名,所有这些包装都是用同一个苹果开发者 ID 进行的。

Eltima 已经通报苹果已经撤销了这一 ID,并与苹果合作,以查明最初的恶意行为是如何进行的。一名 Eltima 的发言人告诉媒体,虽然恶意的命令和控制程序是在 10 月 15 日注册的,但直到 10 月 19 日软件才开始散布恶意木马。

对于那些不幸成为此次攻击的受害者——这种攻击只涉及到 Elmedia Player 的最新下载,自动更新没有被攻破——摆脱恶意软件的唯一办法是进行完整的操作系统重新安装。

受害者还被警告说,他们应该采取“适当的措施”来确保他们的数据不能被攻击者利用。

用户现在可以从 Eltima 网站下载一款干净的 Elmedia Player,该公司表示现在已经没有任何不受控制的病毒或木马危害了。

作为对这一事件的回应,Eltima 表示,该公司已采取行动,防范未来的攻击,并改善服务器安全。不少新闻媒体就这件事询问了苹果,公司的一位发言人回应道,“在目前这个阶段,我们没有什么可补充的”。

这并不是 Proton 木马第一次通过供应源攻击的方式进行感染。今年 5 月,刚刚下载了苹果 Mac 的 HandBrake 视频转码器的用户们就被告知,有 50% 的几率从一个泄露的镜像文件中感染了该木马。



我叫活雷锋
小霸王中英文电脑学习机 QQ在线

猜你喜欢

发表评论