Исследователи ESET обратили внимание, что разработчики бесплатного видео плеера для macOS Elmedia Player, Eltima, распространяют на официальном сайте версию своей программы, в которую встроен вредонос OSX/Proton.
ESET советует всем, кто недавно загрузил программное обеспечение Elmedia Player, проверить свою систему на предмет заражения. Сделать это можно, проверив наличие следующих файлов или каталогов в системе macOS:
- /tmp/Updater.app/
- /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
- /Library/.rand/
- /Library/.rand/updateragent.app/
Если хотя бы один из этих каталогов или файлов присутствует, система, скорее всего, скомпрометирована OSX/Proton. Если вы загрузили это программное обеспечение 19 октября до 3:15 вечера по североамериканскому восточному времени, то также можно смело предполагать наличие вредоноса в вашей системе.
«Насколько нам известно, только версия, загруженная непосредственно с официального сайта Eltima, содержит троян. Встроенный механизм автоматического обновления не затронут», - пишут эксперты ESET.
OSX/Proton представляет собой бэкдор с возможностью кражи конфиденциальной информации. Он похищает сведения об операционной системе (имя текущего пользователя, имя хоста, информация о шлюзе, текущее время и часовой пояс), историю, файлы cookie, закладки, данные для входа браузеров Chrome, Safari, Opera и Firefox. Помимо этого, его целями являются кошельки криптовалюты.
ESET рекомендует всем пользователям, обнаружившим у себя в системе присутствие OSX/Proton, сменить все свои пароли.
