Proton spia ancora i Mac dai server compromessi
Topic
Approfondimenti
Trending
tutti

Proton spia ancora i Mac dai server compromessi

Individuata l'ennesima campagna malevola a base del famigerato RAT per macOS, una minaccia che ancora una volta si serve di software legittimi per diffondere l'infezione e spiare l'attività degli utenti
Sicurezza Malware e virus
Individuata l'ennesima campagna malevola a base del famigerato RAT per macOS, una minaccia che ancora una volta si serve di software legittimi per diffondere l'infezione e spiare l'attività degli utenti

I ricercatori di ESET hanno scovato una nuova minaccia per sistemi macOS , un attacco pensato per distribuire il trojan ad accesso remoto (RAT) OSX/Proton attraverso un player multimediale apparentemente legittimo . Il software è stato in realtà compromesso dai cyber-criminali, e non si sa per quanto tempo sia andata avanti al distribuzione della release a base di malware.

I cracker hanno abusato del lettore multimediale Elmedia Player , realizzato da Eltima, violando i server dell’azienda e integrando una variante del RAT Proton sulle versioni recenti del software. Al momento il numero di sistemi infetti è incerto ma ESET dice di aver comunicato la presenza del malware il 19 ottobre; Eltima ha prontamente risposto ripulendo i server dalle release compromesse . Elmedia Player era un obiettivo alquanto appetibile per i cyber criminali in quanto ha recentemente festeggiato il traguardo del milione di utenti.


Proton costituisce una minaccia potenzialmente molto pericolosa, visto che il RAT è in grado di comunicare all’esterno informazioni importanti sull’host infetto come i dettagli sull’OS, i dati del browser (password incluse), le chiavi SSH private eventualmente presenti sul sistema e molto altro ancora . Ulteriore funzionalità del trojan è poi quella che permette di scaricare ed eseguire ulteriori software malevoli.

Per sincerarsi del fatto che macOS sia stato infettato o meno, gli utenti che fanno uso di Elmedia Player possono verificare la presenza delle seguenti cartelle sul sistema:

/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/

I server di Eltima rappresentano la nuova vittima di un malware che ha già fatto parlare di sé nei mesi scorsi, quando i server di un altro popolare tool (HandBrake) sono stati compromessi per diffondere il RAT Proton. La violazione dei server per distribuire codice malevolo non è poi certo una gran novità, visti i tanti casi emersi in tempi recenti sia per OS X ( Transmission ) che per sistemi Windows ( CCleaner ).

Alfonso Maruccia

fonte immagine

Pubblicato il 20 ott 2017

Link copiato negli appunti

Ti potrebbe interessare

Malware per macOS nascosto nei software pirata

Malware per macOS nascosto nei software pirata
Accesso sicuro alla rete remota per la tua azienda con NordLayer (nuova offerta)

Accesso sicuro alla rete remota per la tua azienda con NordLayer (nuova offerta)
Antivirus e VPN insieme: la soluzione 2 in 1 di NordVPN a meno di 4 euro al mese

Antivirus e VPN insieme: la soluzione 2 in 1 di NordVPN a meno di 4 euro al mese
Microsoft 365 + McAfee Total: SUPER sconto del 24% su Amazon

Microsoft 365 + McAfee Total: SUPER sconto del 24% su Amazon
Malware per macOS nascosto nei software pirata

Malware per macOS nascosto nei software pirata
Accesso sicuro alla rete remota per la tua azienda con NordLayer (nuova offerta)

Accesso sicuro alla rete remota per la tua azienda con NordLayer (nuova offerta)
Antivirus e VPN insieme: la soluzione 2 in 1 di NordVPN a meno di 4 euro al mese

Antivirus e VPN insieme: la soluzione 2 in 1 di NordVPN a meno di 4 euro al mese
Microsoft 365 + McAfee Total: SUPER sconto del 24% su Amazon

Microsoft 365 + McAfee Total: SUPER sconto del 24% su Amazon
Alfonso Maruccia
Pubblicato il 20 ott 2017
Link copiato negli appunti