在开发者的服务器遭到入侵后,一款受欢迎的Mac OS X媒体播放器和一款配套的下载管理器的下载感染了木马病毒。

软件开发商Eltima的Elmedia Player应用拥有超过一百万用户,其中一些人可能也无意中安装了 Proton,这是一种远程访问木马,专门针对mac电脑,目的是入侵和盗窃用户信息。攻击者还设法通过同样的恶意软件,破坏了另一款Eltima产品——Folx。

Proton 后门系统为攻击者提供了几乎完整的入侵系统视图,可以窃取浏览器信息、密钥日志、用户名和密码、加密货币钱包、macOS keychain数据等等。

在给外界媒体的一封电子邮件中,Eltima的发言人表示,该恶意软件是通过下载来分发的,因为攻击者“在我们服务器上的tinymce JavaScript库中使用了未知安全漏洞”。

这一事件最早于10月19日被曝光,当时该公司的网络安全研究人员注意到Elmedia Player正在分发 Proton 木马恶意软件。如果用户在美国东部时间下午3:15之前从Eltima下载了软件,那么他们的系统可能已经被恶意软件攻陷。

如果系统上有下列文件或目录,则意味着系统上安装了Elmedia Player的木马病毒:

/tmp/Updater.app/

/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

/Library/.rand/

/Library/.rand/updateragent.app/

不知通过何种方式,攻击者设法在正常媒体播放器周围建立了一个签名的包装器,从而导致了 Proton 病毒与之捆绑在一起。事实上,研究人员表示,他们观察到了包装器的签名,所有这些包装都是用同一个苹果开发者ID进行的。

Eltima已经通报苹果已经撤销了这一ID,并与苹果合作,以查明最初的恶意行为是如何进行的。一名Eltima的发言人告诉媒体,虽然恶意的命令和控制程序是在10月15日注册的,但直到10月19日软件才开始散布恶意木马。

对于那些不幸成为此次攻击的受害者——这种攻击只涉及到Elmedia Player的最新下载,自动更新没有被攻破——摆脱恶意软件的唯一办法是进行完整的操作系统重新安装。

受害者还被警告说,他们应该采取“适当的措施”来确保他们的数据不能被攻击者利用。

用户现在可以从Eltima网站下载一款干净的Elmedia Player,该公司表示现在已经没有任何不受控制的病毒或木马危害了。

作为对这一事件的回应,Eltima表示,该公司已采取行动,防范未来的攻击,并改善服务器安全。不少新闻媒体就这件事询问了苹果,公司的一位发言人回应道,“在目前这个阶段,我们没有什么可补充的”。

这并不是 Proton 木马第一次通过供应源攻击的方式进行感染。今年5月,刚刚下载了苹果Mac的HandBrake视频转码器的用户们就被告知,有50%的几率从一个泄露的镜像文件中感染了该木马。

原文来自:https://www.ithome.com/html/mac/331195.htm

本文地址:http://www.linuxprobe.com/macos-trojan.html编辑:周晓雪,审核员:逄增宝