Un player multimediale per Mac sfruttato come veicolo per “infettare” ignari utilizzatori con un malware che consente agli attacker di spiare gli utenti e rubare dati. È accaduto con Elmedia Player, software creato da Eltima. e che a detta degli sviluppatori vanta oltre un milione di utenti. Alcuni di questi si sono ritrovati installato Proton, un RAT, acronimo di “Remote Access Trojan”, che ha come target gli utenti Mac allo scopo di spiarli e rubare dati.
Cybercriminali non meglio identificati, riferisce ZDNet, sarebbero riusciti a compromettere anche una diversa applicazione della software house: Folx, utility per la gestione dei download.
Come già detto la backdoor Proton fornisce agli attacker una visuale quasi completa del sistema compromesso permettendo di prelevare informazioni dal browser e registrare quanto digitato sulla tastiera (keylog) inclusi nomi utente e password, accedere a wallet per criptovalute e al portachiavi di sistema.
In una mail inviata a ZDNet, un portavoce di Eltima spiega che il malware è stato distribuito con i download dopo che non meglio precisate persone hanno “hackerato” il loro server sfruttando la vulnerabilità di “Tiny_mce”, una libreria JavaScript.
Il problema è stato individuato il 19 ottobre quando ricercatori di sicurezza dell’azienda ESET hanno notato la distribuzione del player con il trojan integrato. Gli utenti che hanno scaricato il software dal sito Eltima in questi giorni potrebbero avere inavvertitamente installato il malware, di serie con il pacchetto. È possibile riconoscere la presenza del malware verificando la presenza di questi elementi nel sistema:
/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/
L’ID sviluppatore è stato revocato da Apple e non dovrebbe essere più possibile eseguire software che sfruttano la possibilità di essere riconosciti come sicuri grazie al “wrapper” (in poche parole uno strumento che consente di combinare più elementi all’interno di un solo file eseguibile affinché sia identificato come legittimo).
Se sfruttate questo i software di Elmedia Player, verificate nel vostro sistema la presenza degli elementi sopra indicati. Gli sviluppatori hanno messo a disposizione una versione aggiornata e sicura dell’applicazione. Se il vostro sistema è compromesso, è fondamentale eliminare il malware e cambiare le password usate per l’accesso ai vari servizi.
Non è la prima volta che il malware Proton è distribuito all’interno di software leciti. Alcuni mesi addietro, cybercriminali sono riusciti a violare i server degli sviluppatori di Handbrake, caricando una versione modificata (con il trojan di serie) nel popolare video transcoder per Mac.