Компания Eltima Software с удовлетворением констатировала, что распространение троянизированных версий ее бесплатных продуктов для Mac OS X — популярной программы для воспроизведения аудио- и видеофайлов Elmedia Player, а также менеджера загрузок Folx — удалось остановить. Пользователям, случайно закачавшим зловред, рекомендуется переустановить ОС и вычистить связанные с ним системные данные.

О взломе серверов загрузок с целью раздачи вредоносных DMG-файлов разработчик узнал 19 октября от ESET. Внедренный в легитимные приложения зловред был идентифицирован как Proton — RAT-троянец, используемый для кражи конфиденциальной информации и слежки за пользователями. Данный зловред, ориентированный на Mac OS X, обычно распространяется в виде репака легитимного приложения, снабженного действительной цифровой подписью.

По словам Eltima, совместными усилиями ее специалистов, а также представителей ESET и Apple зараженные версии программ были удалены с ее серверов к 15:15 того же дня, когда они были обнаружены. В минувшую пятницу Eltima официально объявила, что Elmedia Player, Folx и другие приложения ее производства можно скачивать без опасений. Apple уже отозвала скомпрометированный сертификат и работает над лишением законной силы идентификатора разработчика, который использовался для подписания вредоносных приложений.

Объявив о ликвидации угрозы, Eltima подчеркнула: если пользователь недавно не скачивал, а обновил уже используемое ПО, компрометации, скорее всего, не произошло, так как механизм автоматического обновления не затронут. Однако на всякий случай всем пользователям рекомендуется просканировать систему на наличие следующих файлов и папок, связанных с Proton:

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

Если известный своей цепкостью RAT-троянец проник в систему, избавиться от него можно лишь переустановкой macOS. «Переустановка ОС-системы — единственный способ, гарантирующий полную очистку от этого зловреда, — пишет Eltima. — Это стандартная процедура для случаев компрометации системы, затрагивающих учетную запись администратора».

Количество жертв заражения пока не известно; неясно также, как долго Proton был доступен на официальном сайте Eltima.

Категории: Вредоносные программы, Кибероборона