上次是開源視頻轉換器應用Handbrake,這次是媒體播放器Elmedia Player,連下載工具Folx都中招。
軟件開發商 Eltima 的 Elmedia Player 應用擁有超過一百萬用戶,其中一些人可能也無意中安裝了 Proton,這是一種遠程訪問木馬,專門針對 mac 電腦,目的是入侵和盜竊用戶信息。攻擊者還設法通過同樣的惡意軟件,破壞了另一款 Eltima 產品——Folx。
Proton 后門系統為攻擊者提供了幾乎完整的入侵系統視圖,可以竊取瀏覽器信息、密鑰日志、用戶名和密碼、加密貨幣錢包、macOS keychain 數據等等。
在給外界媒體的一封電子郵件中,Eltima 的發言人表示,該惡意軟件是通過下載來分發的,因為攻擊者“在我們服務器上的 tinymce JavaScript 庫中使用了未知安全漏洞”。
這一事件最早于 10 月 19 日被曝光,當時該公司的網絡安全研究人員注意到 Elmedia Player 正在分發 Proton 木馬惡意軟件。如果用戶在美國東部時間下午 3:15 之前從 Eltima 下載了軟件,那么他們的系統可能已經被惡意軟件攻陷。
如果系統上有下列文件或目錄,則意味著系統上安裝了 Elmedia Player 的木馬病毒:
/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/
不知通過何種方式,攻擊者設法在正常媒體播放器周圍建立了一個簽名的包裝器,從而導致了 Proton 病毒與之捆綁在一起。事實上,研究人員表示,他們觀察到了包裝器的簽名,所有這些包裝都是用同一個蘋果開發者 ID 進行的。
Eltima 已經通報蘋果已經撤銷了這一 ID,并與蘋果合作,以查明最初的惡意行為是如何進行的。一名 Eltima 的發言人告訴媒體,雖然惡意的命令和控制程序是在 10 月 15 日注冊的,但直到 10 月 19 日軟件才開始散布惡意木馬。
對于那些不幸成為此次攻擊的受害者——這種攻擊只涉及到 Elmedia Player 的最新下載,自動更新沒有被攻破——擺脫惡意軟件的唯一辦法是進行完整的操作系統重新安裝。
受害者還被警告說,他們應該采取“適當的措施”來確保他們的數據不能被攻擊者利用。
用戶現在可以從 Eltima 網站下載一款干凈的 Elmedia Player,該公司表示現在已經沒有任何不受控制的病毒或木馬危害了。
作為對這一事件的回應,Eltima 表示,該公司已采取行動,防范未來的攻擊,并改善服務器安全。不少新聞媒體就這件事詢問了蘋果,公司的一位發言人回應道,“在目前這個階段,我們沒有什么可補充的”。
這并不是 Proton 木馬第一次通過供應源攻擊的方式進行感染。今年 5 月,剛剛下載了蘋果 Mac 的 HandBrake 視頻轉碼器的用戶們就被告知,有 50% 的幾率從一個泄露的鏡像文件中感染了該木馬。
京公網安備 11010502049343號