ESET warnt vor verseuchten Downloads der Mediensoftware Elmedia Player
Laut Warnung des Sicherheitsanbieters ESET sind Downloads der Mediensoftware Elmedia Player und auch des zugehörigen Downloaders mit Malware verseucht, wie zdnet.de dazu erläuterte. Sie waren zeitweise auf den Servern des Anbieters Eltima verfügbar. Dieser bewirbt mehr als einen Millionen Nutzer weltweit. Nun besteht der Verdacht, dass ein Teil der User möglicherweise ihren Mac mit einem Remote Access Trojan namens Proton infiziert haben.
Unbekannte sollen den Download-Server von Eltima zuvor kompromittiert haben. Bei dem Angriff handelt es sich, wie ESET-Forscher feststellten um den Zeitraum 19. Oktober. Betroffen haben soll es Nutzer, die an dem Tag die Software bis etwa 21.15 Uhr deutscher Zeit heruntergeladen haben.
Unternehmen verifizierte Angriff
Per E-Mail bestätigte ein Unternehmenssprecher, dass der Einbruch über eine JavaScript-Bibliothek erfolgte. Der genaue Verlauf sei allerdings unbekannt. Inzwischen bietet Eltima wieder eine bereinigte Version des Elmedia Player an.
Laut ESET sei es den Hackern gelungen, den legitimen Media Player in einen signierten Wrapper zu packen und den Proton-Trojaner darin zu verstecken. Der Wrapper war zudem mit der Apple Developer ID von Eltima signiert. Sie sei inzwischen widerrufen worden. Zusammen mit Apple untersuche man noch, wie es möglich war, die offizielle Entwickler-ID für die Tarnung der Malware zu missbrauchen.
Wer ist betroffen?
Nur Nutzer, die in der Zeit eine Neuinstallation der Software vorgenommen haben sind betroffen. Updates sollen nicht mit Malware verseucht worden sein.
Zeichen für eine Infektion ist, dass sich auf dem System nachfolgender Ordner befindet:
„/tmp/Updater.app/“, „/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist“, „/Library/.rand/“ oder „/Library/.rand/updateragent.app/“
Wie gelingt die Entfernung des Trojaners?
Nur eine Neuinstallation des Betriebssystems kann den Trojaner beseitigen!
Nur Nutzer, die in der Zeit eine Neuinstallation der Software vorgenommen haben sind betroffen. Updates sollen nicht mit Malware verseucht worden sein.
ESET warnt vor Datenmissbrauch
„Proton“ ermöglichte es den Angreifern, auf die Mac-Geräte zuzugreifen und von dort Daten zu erspähen. Nutzernamen, Passwörter, Browser-Informationen und vieles mehr können die Hacker auslesen. ESET rät Betroffenen, Maßnahmen zu ergreifen, um einen Missbrauch ihrer Daten zu verhindern.
Weiterführende Links:
welivesecurity.com: OSX/Proton spreading again through supply-chain attack
zdnet.de: Trojaner für Mac OS X verbreitet sich über manipulierte Software-Downloads
