Eset обнаружила угрозу для Mac
Eset выявила кибератаку на пользователей macOS. Мошенники взломали сайт компании-разработчика Eltima и распространяли зараженные трояномOSX/Proton версии популярных приложений - мультимедийного плеера Elmedia Player и менеджера закачек Folx, рассказали в Eset. Для атаки хакеры создали подписанную действующим сертификатом (в настоящее время сертификат отозван Apple) оболочку вокруг легитимного приложения Elmedia Player и трояна Proton. После скачивания с сайта Eltima оболочка запускала настоящий медиаплеер, а затем выполняла в системе код Proton. Вирус выводил на экран поддельное окно авторизации, чтобы получить права администратора.
OSX/Proton - троян для удаленного доступа, который продавался на подпольных форумах с марта 2017 года, рассказали эксперты. У него были функции для кражи данных, включая информацию о пользователе и операционной системе, список установленных приложений, данные браузеров, номера криптовалютных кошельков, данные связки ключей macOS, сохраненные логины и пароли. Подобная схема (атаки на цепи поставок) уже использовалась ранее для распространения вредоносного ПО для macOS. В 2016 году дважды взламывался торрент-клиент Transmission - в первом инциденте фигурировал шифратор OSX/KeRanger, во втором - инструмент для кражи паролей OSX/Keydnap. В 2017 году приложение Handbrake для кодирования видео на Мас было заражено трояном Proton.
В Eset обнаружили зараженные приложения на сайте Eltima 19 октября. После предупреждения разработчики устранили угрозу и возобновили раздачу легитимного софта, сообщили в компании. Eset также рекомендует всем пользователям, недавно загружавшим программное обеспечение с сайта Eltima, проверить систему на предмет заражения вирусом.
