Инструкция новичку Путеводитель по форуму Прокси для Telegram Показать подсказки , это бомба!

Пользователи macOS в опасности: в составе Elmedia Player и Folx распространялся троян

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.023
37
Пользователи macOS в опасности: в составе Elmedia Player и Folx распространялся троян



Исследователи компании ESET предупредили, что была взломана компании Eltima Software, которой принадлежат такие популярные решения для macOS, как бесплатный плеер Elmedia Player и менеджер закачек Folx. Согласно официальным данным, плеером Eltima Software пользуются более миллиона человек.

ИБ-специалисты сообщают, что злоумышленники внедрили в состав легитимных продуктов трояна Proton (OSX/Proton), который умеет как шпионить за пользователями, так и похищать данные. Proton способен воровать куки, историю и учетные данные, хранящиеся в браузерах, ключи SSH, информацию о криптовалютных кошельках, сведения о настройках Tunnelblick VPN, PGP-ключи и данные из 1Password, macOS keychain и так далее. Ранее эту малварь похожим способом помещали в состав другого популярного приложения для macOS, HandBrake.

Представители Eltima Software уже прокомментировали случившееся. Сообщается, что атакующие проникли на сервер компании через уязвимость в JavaScript библиотеке tiny_mce. Хотя известно, что управляющий сервер преступников, связанный с данной атакой, заработал еще 15 октября 2017 года, распространение вредоноса началось лишь 19 октября и затронуло только тех пользователей, которые загружали ПО с сайта Eltima в этот день (до 8:30 утра по московскому времени). Приложения, в которых в это время сработало автообновление, не пострадали.

По данным ESET, малварь оставалась на сайте почти 24 часа, и за это время ее успели скачать около 1000 человек. В настоящее время последствия атаки устранены, и все приложения уже безопасны для загрузки.

Проверить свою систему на предмет заражения можно следующим образом: на компрометацию указывает присутствие любого из перечисленных файлов или каталогов:
  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/
При этом аналитики ESET предупреждают, что если заражение имеет место, единственный надежный способ избавиться от вредоносного ПО – это полная переустановка операционной системы.

Интересно, что подменные приложения не были подписаны сертификатом Eltima Software, а использовали другой developer ID, где значилось имя некоего Клифтона Гримма (Clifton Grimm). Не совсем ясно, был этот сертификат похищен у реально существующего разработчика, или был получен от компании Apple мошенническим путем (к примеру, через фейковую или подставную личность). Как бы то ни было, это позволило атакующим обмануть Gatekeeper.

Напомню, что в сентябре 2017 года похожий инцидент произошел с разработчиками популярного приложения CCleaner, использующегося для оптимизации и «чистки» ОС семейства Windows. Тогда, по данным разработчиков, пострадали более 2 млн пользователей, так как компрометация произошла 15 августа 2017 года, но вплоть до 12 сентября 2017 года взлом оставался незамеченным, а вместе с CCleaner распространялась малварь Floxif.

Но если в случае CCleaner преступники скомпрометировали практически всю инфраструктуру компании, то Eltima Software, похоже, повезло немного больше, и скомпрометирован был только сайт компании.
 
Ваш e-mail не будет опубликован. Он потребуется для подтверждения Вашего поста.
Оформление текста Нажмите «Ввод», чтобы отправить ответ.

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
338.378
Сообщения
361.154
Пользователи
25.854
Новый пользователь
OlivkaG

Приложения форума для iOS и Android


У ркн там нет власти ;)
Гостевуха
Помощь Пользователи
  • K Chat Bot:
    Гость kkifkaa присоединился к комнате.
  • K (Гость) kkifkaa:
    Всем привет!
    Цитата
  • K (Гость) kkifkaa:
    mizaider тут есть?
    Цитата
  • K Chat Bot:
    Гость kkifkaa присоединился к комнате.
  • K (Гость) kkifkaa:
    Здравствуйте уважаемые члены форума. Подскажите пож-та, что можно сделать если я был заблокирован якобы за: «Вы были заблокированы по следующей причине: Копирование материалов на другие ресурсы». Самое страшное, то что тебя обвиняют и не дают возможность пообщаться и разобраться в причинах. Кстати в такой ситуации может быть каждый из нас. Вот так стараешься размещаешь тут материал, а тебя без разбирательств в бан. И нет возможности обратится в тех поддержку т.к. твой аккаут заблокирован. Подскажите пож-та, как можно связаться с администрацией, чтобы была проведена проверка? Сейчас я новичок и как раз в этот день для нас заливал на форум новые курсы (один залил, второй не успел). Я сначала подумал, что какой-то запрещений материал разместил, а потом понял, что меня обвинили в том, что я не делал.
    Цитата
  • K (Гость) kkifkaa:
    mizaider ты здесь помоги пожалуйста!
    Цитата
  • mizaider @ mizaider:
    Вопрос решен.
    Цитата
  • goodness @ goodness:
    Добрый вечер уважаемые форумчане!)
    Цитата
  • goodness @ goodness:
    Вопрос к администрации: Имеется одна точка доступа wifi на квартиру, вашим форумом пользуюсь пока что только я, но хотел бы зарегистрировать и свою девушку,
    Цитата
  • goodness @ goodness:
    система нас не забанит из-за того что мы с одной точки доступа но с разных устройств?
    Цитата
  • mizaider @ mizaider:
    Не забанит
    Цитата
  • Captain @ Captain:
    Батя в здание
    Цитата
  • 13SASHA13 @ 13SASHA13:
    Цитата
  • Uggi Chat Bot:
    Uggi покинул(а) комнату.
  • M Chat Bot:
    mr_robot_i2p покинул(а) комнату.
  • Captain @ Captain:
    Батя в здание
    Цитата
  • J Chat Bot:
    joker567 покинул(а) комнату.
  • Z Chat Bot:
    ztmm покинул(а) комнату.
    Z Chat Bot: ztmm покинул(а) комнату.