Раскрыта кибератака на пользователей macOS

Компания ESET обнаружила, что хакеры взломали сайт разработчиков плеера Elmedia Player и менеджера закачек Folx, и встроили в обновление вирус, который получает доступ ко многим данных с компьютера.

Хакеры получили полный доступ к сайту компании-разработчика Eltima и их продуктам. Они использовали действующий сертификат приложений Elmedia Player и Folx, чтобы под новым обновлением скрыть вирус Proton. При запуске зараженной программы она выполняет свои основные задачи, но потом появляется окно трояна, которое запрашивает доступ к правам администратора.

Скриншот приложения Elmedia Player
Скриншот приложения Elmedia Player

В качестве инструмента атаки хакеры взяли вирус Proton, который позволяет удаленно красть данные, номера криптовалютных кошельков, логины, пароли и другую информацию пользователя. В августе 2017 года компания Eltima рассказала, что приложение Elmedia Player достигло отметки в миллион пользователей.

Как проверить безопасность

Все, кто пользуются приложениями от компании Eltima нужно проверить систему на наличие следующих файлов и папок:

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

Эксперт ESET сообщает, что единственный надежный способ избавиться от вируса Proton — полностью переустановить систему.