DevSecOps

20 out, 2017

Malware Mac OSX Trojan se espalha através de downloads de softwares comprometidos

Publicidade

Os downloads de um media player Mac OSXe popular, acompanhado por um gerenciador de downloads, foram infectados com um malware trojan depois que os servidores do desenvolvedor foram hackeados.

O Elmedia Player do desenvolvedor de software Eltima possui mais de um milhão de usuários, alguns dos quais também podem ter instalado involuntariamente o Proton, um Trojan de Acesso Remoto que visa especificamente os Macs para fins de espionagem e roubo. Os invasores também conseguiram comprometer um segundo produto Eltima – Folx – com o mesmo malware.

O backdoor do Proton fornece aos invasores uma visão quase completa do sistema comprometido, permitindo o roubo de informações do navegador, keylogs, nomes de usuário e senhas, carteiras de criptomoedas, dados Keychain do macOS e muito mais.

Em um e-mail para a ZDNet, um porta-voz de Eltima disse que o malware foi distribuído com downloads como um resultado de seus servidores serem “hackeados” depois que os atacantes “usaram uma violação de segurança na biblioteca tiny_mce JavaScript em nosso servidor”.

O compromisso veio à luz em 19 de outubro, quando pesquisadores de segurança cibernética da ESET perceberam que o Elmedia Player estava distribuindo o malware Trojan Proton. Os usuários são avisados se eles baixaram o software de Eltima nesse dia antes das 3:15 da tarde, o sistema deles pode ter sido comprometido pelo malware.

Se algum dos seguintes arquivos ou diretórios estiver no sistema, significa que a versão trojanizada do Elmedia Player está instalada no sistema.

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

De alguma forma, os invasores conseguiram construir um wrapper assinado em torno do media player legítimo, que resultou no Proton sendo empacotado junto com ele. De fato, os pesquisadores disseram que observaram a assinatura dos wrappers, o que ocorreu com o mesmo ID do Desenvolvedor da Apple.

A ID já foi revogada pela Apple. A Eltima e a ESET estão trabalhando com a Apple para descobrir como a ação maliciosa poderia ser tomada em primeiro lugar. Um porta-voz da Eltima disse à ZDNet que, enquanto o servidor de controle e comando malicioso estava registrado em 15 de outubro, nenhum malware foi distribuído até 19 de outubro.

Para os infelizes que foram vítimas desse ataque – que só envolveu novos downloads do Elmedia Player, atualizações automáticas não foram comprometidas – a única maneira de se livrar do malware é submeter-se a uma reinstalação completa do sistema operacional.

Os usuários agora podem baixar uma versão limpa do Elmedia Player do site Eltima, que a ESET diz que está agora livre de comprometimentos.

Em resposta ao incidente, Eltima diz que tomou medidas para proteger contra futuros ataques e melhorar a segurança do servidor.

Um porta-voz da Apple disse à ZDNet a empresa “nesta fase, não temos nada para adicionar”.

Não é a primeira vez que o Proton foi distribuído através do uso de um ataque ao supply-chain. Em maio, os usuários que haviam baixado recentemente o transcoder de vídeo do Handbrake para o Apple Mac foram avisados de uma chance de 50/50 de ter baixado o aplicativo de um mirror comprometido servindo o Trojan OSX.

***

Com informações de ZDNet: http://www.zdnet.com/article/trojan-malware-for-mac-osx-spread-via-compromised-media-player-downloads/