Кибератака на пользователей MacOS

Компания ESET сообщила, что ее эксперты выявили кибератаку на пользователей macOS. Хакеры взломали сайт компании-разработчика Eltima и распространяли зараженные троянцем OSX/Proton версии популярных приложений: мультимедийного плеера Elmedia Player и менеджера закачек Folx.

Зараженные приложения на сайте Eltima были обнаружены 19 октября. После предупреждения разработчики устранили угрозу и сообщили о возобновлении раздачи легитимного софта.

OSX/Proton – троянец для удаленного доступа (Remote Access Trojan, RAT), который продавался на подпольных форумах с марта 2017 г. В нем предусмотрены функции для кражи данных, включая информацию о пользователе и операционной системе, список установленных приложений, данные браузеров, номера криптовалютных кошельков, данные связки ключей macOS, сохраненные логины и пароли.

Для атаки хакеры создали подписанную действующим сертификатом (в настоящее время сертификат отозван Apple) оболочку вокруг легитимного приложения Elmedia Player и трояна Proton. После скачивания с сайта Eltima оболочка запускает настоящий медиаплеер, а затем выполняет в системе код Proton. Троян выводит на экран поддельное окно авторизации, чтобы получить права администратора.

Подобная схема (атаки на цепи поставок – supply-chain attack) уже использовалась ранее для распространения вредоносного ПО для macOS. В 2016 г. дважды взламывался торрент-клиент Transmission – в первом инциденте фигурировал шифратор OSX/KeRanger, во втором – инструмент для кражи паролей OSX/Keydnap. В 2017 г. приложение Handbrake для кодирования видео на Мас было заражено троянцем Proton.

Тематики: Безопасность

Ключевые слова: информационная безопасность, ESET