Исследователи компании ESET предупредили, что была взломана компания Eltima Software, которой принадлежат такие популярные решения для macOS, как бесплатный плеер Elmedia Player и менеджер закачек Folx. Согласно официальным данным, плеером Eltima Software пользуются более миллиона человек.
ИБ-специалисты сообщают, что злоумышленники внедрили в состав легитимных продуктов трояна Proton (OSX/Proton), который умеет как шпионить за пользователями, так и похищать данные. Proton способен воровать куки, историю и учетные данные, хранящиеся в браузерах, ключи SSH, информацию о криптовалютных кошельках, сведения о настройках Tunnelblick VPN, PGP-ключи и данные из 1Password, macOS keychain и так далее. Ранее эту малварь похожим способом помещали в состав другого популярного приложения для macOS, HandBrake.
Представители Eltima Software уже прокомментировали случившееся. Сообщается, что атакующие проникли на сервер компании через уязвимость в JavaScript библиотеке tiny_mce. Хотя известно, что управляющий сервер преступников, связанный с данной атакой, заработал еще 15 октября 2017 года, распространение вредоноса началось лишь 19 октября и затронуло только тех пользователей, которые загружали ПО с сайта Eltima в этот день (до 8:30 утра по московскому времени). Приложения, в которых в это время сработало автообновление, не пострадали.
По данным ESET, малварь оставалась на сайте почти 24 часа, и за это время ее успели скачать около 1000 человек. В настоящее время последствия атаки устранены, и все приложения уже безопасны для загрузки.
Проверить свою систему на предмет заражения можно следующим образом: на компрометацию указывает присутствие любого из перечисленных файлов или каталогов:
- /tmp/Updater.app/
- /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
- /Library/.rand/
- /Library/.rand/updateragent.app/
При этом аналитики ESET предупреждают, что если заражение имеет место, единственный надежный способ избавиться от вредоносного ПО – это полная переустановка операционной системы.
Интересно, что подменные приложения не были подписаны сертификатом Eltima Software, а использовали другой developer ID, где значилось имя некоего Клифтона Гримма (Clifton Grimm). Не совсем ясно, был этот сертификат похищен у реально существующего разработчика, или был получен от компании Apple мошенническим путем (к примеру, через фейковую или подставную личность). Как бы то ни было, это позволило атакующим обмануть Gatekeeper.
Напомню, что в сентябре 2017 года похожий инцидент произошел с разработчиками популярного приложения CCleaner, использующегося для оптимизации и «чистки» ОС семейства Windows. Тогда, по данным разработчиков, пострадали более 2 млн пользователей, так как компрометация произошла 15 августа 2017 года, но вплоть до 12 сентября 2017 года взлом оставался незамеченным, а вместе с CCleaner распространялась малварь Floxif.
Но если в случае CCleaner преступники скомпрометировали практически всю инфраструктуру компании, то Eltima Software, похоже, повезло немного больше, и скомпрометирован был только сайт компании.