Злоумышленники инфицировали Elmedia Player macOS-бэкдором

Зараженная версия популярного видеоплеера Elmedia Player была доступна для скачивания прямо с сайта разработчика.

Неизвестные скомпрометировали сайт Eltima, компании-разработчика приложений для Windows и macOS, для размещения вредоносных версий популярного приложения Elmedia Player. В настоящий момент неизвестно, когда именно злоумышленники взломали сайт и разместили вредоносные ссылки.

По данным ESET, свежие версии Elmedia Player содержали троян для удаленного доступа (Remote Access Trojan, RAT) Proton, предназначенный для систем на базе macOS. Вредоносное ПО Proton доступно на хакерских форумах с марта текущего года.

Proton — очень мощная вредоносная программа, позволяющая удаленному злоумышленнику похищать данные с зараженного устройства, в том числе информацию об операционной системе, пароли в браузере, файлы cookie, историю просмотров, закрытые SSH-ключи, данные о криптовалютных кошельках, конфигурации VPN, данные GnuPG и пр. Также Proton может использоваться для загрузки дополнительного вредоносного ПО.

О присутствии трояна на Mac свидетельствуют следующие папки:

/tmp/Updater.app/

/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

/Library/.rand/

/Library/.rand/updateragent.app/

Администраторы сайта удалили зараженную версию Elmedia Player 19 октября 2017 года, сразу после того, как исследователи из ESET уведомили их об инциденте.

Elmedia Player — бесплатный медиаплеер для macOS, проигрывающий большинство видео- и аудиоформатов. По состоянию на август 2017 года количество пользователей данного плеера насчитывало 1 млн человек.

Злоумышленники инфицировали Elmedia Player macOS-бэкдором
Подписывайтесь на канал «SecurityLab» в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.