Eset виявила кібератаку на користувачів Mac
Eset виявила кібератаку на користувачів macOS. Хакери зламали сайт компанії-розробника Eltima і розповсюджували заражені трояном OSX/Proton версії популярних програм: мультимедійного плеєра Elmedia Player та менеджера завантажень Folx.
Експерти Eset виявили заражені програми на сайті Eltima 19 жовтня. Після попередження розробники усунули загрозу та повідомили про відновлення роздачі легітимного софту.
OSX/Proton – троян для віддаленого доступу (Remote Access Trojan, RAT), який продавався на підпільних форумах з березня 2017 року. У ньому передбачені функції для крадіжки даних, включаючи інформацію про користувача та операційну систему, список встановлених програм, дані браузерів, номери криптовалютних гаманців, дані зв'язки ключів macOS, збережені логіни та паролі.
Для атаки хакери створили підписану чинним сертифікатом (нині сертифікат відкликаний Apple) оболонку навколо легітимної програми Elmedia Player і трояна Proton. Після скачування із сайту Eltima оболонка запускає справжній медіаплеєр, а потім виконує в системі код Proton. Троян виводить на екран підробне вікно авторизації, щоб отримати права адміністратора.
Подібна схема (атаки на ланцюзі постачання – supply-chain attack) вже використовувалася раніше для поширення шкідливого ПЗ для macOS. У 2016 році двічі зламувався торрент-клієнт Transmission – у першому інциденті фігурував шифратор OSX/KeRanger, у другому – інструмент для крадіжки паролів OSX/Keydnap. У 2017 році програма Handbrake для кодування відео на Мас була заражена трояном Proton.
Eset рекомендує всім користувачам, які недавно завантажували програмне забезпечення з сайту Eltima, перевірити систему на предмет компрометації. На зараження вказує присутність будь-якого з таких файлів чи каталогів: /tmp/Updater.app/; /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist; /Library/.rand/; /Library/.rand/updateragent.app/.
Антивірусні продукти Eset детектують загрозу як OSX/Proton.