Pamiętacie majową wpadkę z kompromitacją serwera z popularnym programem do kodowania wideo Handbrake? Przez kilka dni pobierając Handbreake, dostawało się „gratis” złośliwe oprogramowanie zwane OSX/Proton.
Tym razem padło na Eltimę i jej Elmedia Player
Jak podaje Intego.com kompromitacja serwera (przejęcie i podmienienie pliku z instalacyjną wersją programu) została odkryta 19 października. Tego samego dnia o godzinie 9.15 naszego czasu złośliwy plik został usunięty. Niestety nie wiadomo jak długo serwer był skompromitowany i ile kopii Elmedia Playera zawierającego złośliwy kod zostało poranych. Przypomnijcie sobie, czy czasem nie pobieraliście tego programu przed 20 października.
Jak działa OSX/Proton
Po skopiowaniu Elmedia Playera do teczki Aplikacje i pierwszym jego uruchomieniu pojawia się monit instalatora (malwaru, nie playera) z prośbą o podanie hasła administratora. Wygląda to tak, jak często przy instalacji nowego oprogramowania. To wystarczy, aby OSX/Proton zagnieździł się w systemie. Złośliwy program potrafi wykonywać wiele poleceń przesyłanych z serwera sterującego, jak kopiowanie plików, pobieranie i uruchamianie oprogramowania, wysyłanie plików i danych na serwer sterujący. Potrafi też przeszukiwać dysk w poszukiwaniu danych z przeglądarek, programów obsługujących kryptowaluty, SSH, iPassword i wielu innych.
Apple już unieważnił certyfika, jakiego użyto do podpisania złośliwego kodu: Developer ID Application: Clifton Grimm (9H35WM5TA5)
Zarażenie OSX/Protonem można wykryć po istnieniu w systemie plików:
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/updateragent.app
i sprawdzając w Monitorze aktywności, działanie procesu „updateragent”.
Jak się pozbyć złośliwego i niebezpiecznego gościa
Na początek kasujemy z teczki Aplikacje Elmedia Player, potem z biblioteki: Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
Następnie, gdy mamy macOS 10.12 lub 10.13 to wciskamy Command+Shift+kropka, aby zobaczyć niewidoczne pliki. Zaglądamy do biblioteki użytkownika i biblioteki głównej i kasujemy, jeżeli są:
tmp/Updater.app
Library/.rand/updateragent.app (kasujemy ten program)
Librar/.rand (kasujemy tcałą teczkę)
Więcej o działaniu tego złośliwego oprogramowania, kompromitacji serwera oraz sposobów jego usunięcia możecie znaleźć u źródła: Intego.com.
Bądźcie ostrożni!
0 komentarzy