Eltima Software, producent aplikacji dla systemu macOS, w tym m.in. odtwarzacza Elmedia Player, padł ofiarą cyberataku. W plikach instalacyjnych aplikacji tej firmy umieszczono złośliwego konia trojańskiego (Protona). Zagrożenie potrafi wykradać hasła oraz zawartość portfeli Bitcoin. Szybka reakcja ekspertów z firmy ESET sprawiła, że szkodliwe oprogramowanie zostało bardzo szybko wykryte, a następnie usunięte z aplikacji i serwerów Eltimy.
Do cyberataku doszło pod koniec ubiegłego tygodnia. Eksperci firmy ESET zauważyli wtedy, że Eltima prawdopodobnie nieświadomie udostępnia na swojej stronie aplikacje zainfekowane groźnym trojanem OSX/Proton. Wirus został dodany do plików instalacyjnych m.in. odtwarzacza multimedialnego Elmedia. Zagrożenie atakuje użytkowników urządzeń z systemem macOS. Potrafi zdalnie przejąć kontrolę nad komputerem ofiary — wykradać informacje z przeglądarek internetowych, loginy, hasła, pliki cookies, czy portfele kryptowalut. Dzięki reakcji analityków zagrożeń z firmy ESET, firma Eltima bardzo szybko dowiedziała się o ataku i równie szybko usunęła ze swojej strony zainfekowane pliki instalacyjne. Przedstawiciele Eltima Software przyznali, że użytkownicy, którzy 19 października br. pobrali Elmedia Player z ich oficjalnej strony lub skorzystali z menadżera pobierania Folx, mogli paść ofiarą wspomnianego zagrożenia.
Jak rozpoznać infekcję?
Kamil Sadkowski, analityk zagrożeń z firmy ESET, radzi każdemu, kto w tym czasie zainstalował oprogramowanie Elmedia Player lub Folx, by z pomocą aplikacji antywirusowej sprawdził, czy jego komputer został zainfekowany. Infekcję można zidentyfikować również po obecności w systemie następujących katalogów lub plików:
/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/
– Jeżeli na komputerze znajduje się choć jeden z wymienionych plików lub folderów, istnieje ryzyko, że system został zainfekowany. Niestety jedynym sposobem na skuteczne unieszkodliwienie zagrożenia jest ponowna instalacja systemu operacyjnego – radzi Kamil Sadkowski, analityk zagrożeń ESET.