ITNews | ESET: кибератака на macOS

ESET: кибератака на macOS

ESET: кибератака на macOSКомпания ESET выявила кибератаку на пользователей macOS. Взломав сайт компании Eltima, хакеры распространяли заражённое трояном программное обеспечение.

Хакеры взломали сайт компании Eltima и распространяли заражённые трояном OSX/Proton приложения: мультимедийный плеер Elmedia Player и менеджер закачек Folx. Эксперты ESET обнаружили заражённые приложения на сайте Eltima 19 октября. После предупреждения разработчики устранили угрозу и сообщили о возобновлении раздачи легитимного софта.

ESET: кибератака на macOS

ITNews | ESET: кибератака на macOS

OSX/Proton – троян для удалённого доступа (Remote Access Trojan, RAT), который продавался на подпольных форумах с марта 2017 года. В нём предусмотрены функции для кражи данных, включая информацию о пользователе и операционной системе, список установленных приложений, данные браузеров, номера криптовалютных кошельков, данные связки ключей macOS, сохранённые логины и пароли.

Для атаки хакеры создали подписанную действующим сертификатом (в настоящее время сертификат отозван Apple) оболочку вокруг легитимного приложения Elmedia Player и трояна Proton. После скачивания с сайта Eltima оболочка запускает настоящий медиаплеер, а затем выполняет в системе код Proton. Троян выводит на экран поддельное окно авторизации, чтобы получить права администратора.

Подобная схема (атаки на цепи поставок – supply-chain attack) уже использовалась ранее для распространения вредоносного программного обеспечения для macOS. В 2016 году дважды взламывался торрент-клиент Transmission – в первом инциденте фигурировал шифратор OSX/KeRanger, во втором – инструмент для кражи паролей OSX/Keydnap. В 2017 году приложение Handbrake для кодирования видео на Мас было заражено трояном Proton.

Компания ESET рекомендует всем пользователям, недавно загружавшим программное обеспечение с сайта Eltima, проверить систему на предмет компрометации. На заражение указывает присутствие любого из следующих файлов или каталогов:

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

Антивирусные продукты ESET детектируют угрозу как OSX/Proton.