Hakovan sajt popularnog Elmedia Playera, program širio trojanca Proton

Vesti, 23.10.2017, 00:30 AM

Web sajt proizvođača aplikacija za macOS i Windows kompanije Eltima je kompromitovan a nepoznati napadači koristili su sajt za distribuciju trojanizovane verzije Elmedia Playera za macOS.

Niko ne zna koliko je dugo sajt bio kompromitovan. Ono što se zna je da je Eltima očistila svoj web sajt 19. oktobra kada su stručnjaci iz kompanije ESET primetili malver i kontaktirali kompaniju.

Prema njihovim rečima, novije verzije Elmedia Playera mogle su se preuzeti u paketu sa najnovijom verzijom malvera Proton, koji je trojanac koji omogućava daljinski pristup za macOS sisteme, i koji se prodaje na forumima sajber podzemlja od marta ove godine.

Malver je već korišćen u jednom sličnom napadu u maju ove godine, kada su nepoznati napadači kompromitovali web sajt HandBrake aplikacije za macOS, posle čega se ova aplikacija mogla preuzeti u paketu sa malverom.

Proton je veoma moćan malver. On napadaču otvara zadnja vrata na kompromitovanom sistemu. Napadači mogu koristiti Proton za prikupljanje različitih informacija sa inficiranih računara, kao što su informacije od operativnom sistemu, lozinke iz browsera, kolačići, istorija pretrage, informacije o digitalnim novčanicima, SSH privatni ključevi, podaci iz macOS keychaina, podaci iz 1Passworda, VPN konfiguracije itd. Pored toga, napači mogu koristiti Proton za preuzimanje i pokretanje novog malvera na inficiranim računarima.

Korisnici macOS koji su u skorije vreme instaliral Elmedia Player mogu proveriti da li su inficirani sa Proton RAT tako što će proveriti da li na računarima imaju sledeće foldere:

/tmp/Updater.app/

/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

/Library/.rand/

/Library/.rand/updateragent.app/

Eltima Software koja je proizvođač Elmedia Playera nije primetila da se nešto dešava sa aplikacijom, sve dok je nisu kontaktirali stručnjaci izz ESET-a, posle čega je trojanizovana aplikacija povučena sa sajta. Proizvođač aplikacije kaže da je njegova infrastruktura sada očišćena i da je softver sada čist.

Eltima je saopštila i da je osim Elmedia Playera, bio inficiran i download manager Folx, i to istim backdoor trojancem. I taj program je sada očišćen. Proizvođač je saopštio da je mehanizam automatskog ažuiranja ostao netaknut.

Iz ESET-a savetuju inficirane korisnike da reinstaliraju sisttem jer to jedino garantuje da će malver biti u potpunosti uklonjen.

To nije prvi put da je web sajt nekog proizvođača softvera za Mac hakovan. To se dva puta desilo i web sajtu Transmission BitTorrent klijenta za Mac. Prvi put sa sajta je distribuiran ransomware KeRanger, a drugi put malver koji krade informacije Keydnap.