I ricercatori di ESET hanno scovato una nuova minaccia per sistemi macOS , un attacco pensato per distribuire il trojan ad accesso remoto (RAT) OSX/Proton attraverso un player multimediale apparentemente legittimo . Il software è stato in realtà compromesso dai cyber-criminali, e non si sa per quanto tempo sia andata avanti al distribuzione della release a base di malware.
I cracker hanno abusato del lettore multimediale Elmedia Player , realizzato da Eltima, violando i server dell’azienda e integrando una variante del RAT Proton sulle versioni recenti del software. Al momento il numero di sistemi infetti è incerto ma ESET dice di aver comunicato la presenza del malware il 19 ottobre; Eltima ha prontamente risposto ripulendo i server dalle release compromesse . Elmedia Player era un obiettivo alquanto appetibile per i cyber criminali in quanto ha recentemente festeggiato il traguardo del milione di utenti.

Proton costituisce una minaccia potenzialmente molto pericolosa, visto che il RAT è in grado di comunicare all’esterno informazioni importanti sull’host infetto come i dettagli sull’OS, i dati del browser (password incluse), le chiavi SSH private eventualmente presenti sul sistema e molto altro ancora . Ulteriore funzionalità del trojan è poi quella che permette di scaricare ed eseguire ulteriori software malevoli.
Per sincerarsi del fatto che macOS sia stato infettato o meno, gli utenti che fanno uso di Elmedia Player possono verificare la presenza delle seguenti cartelle sul sistema:
/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/
I server di Eltima rappresentano la nuova vittima di un malware che ha già fatto parlare di sé nei mesi scorsi, quando i server di un altro popolare tool (HandBrake) sono stati compromessi per diffondere il RAT Proton. La violazione dei server per distribuire codice malevolo non è poi certo una gran novità, visti i tanti casi emersi in tempi recenti sia per OS X ( Transmission ) che per sistemi Windows ( CCleaner ).
Alfonso Maruccia
-
M$ e la trave nell'oXXXX
Fa abbastanza ridere vedere M$ che indica pagliuzze altrui.panda rossaRe: M$ e la trave nell'oXXXX
Tu decidi di correggere o no i bug in base a chi te li segnala?...Re: M$ e la trave nell'oXXXX
- Scritto da: ...> Tu decidi di correggere o no i bug in base a chi> te li> segnala?Quando quella che ti chiami "segnalare i bug" avviene mediante PI invece che utilizzando il canale preposto, non si chiama piu' "segnalare i bug" ma si chiama "smettete per qualche secondo di parlare della nostra XXXXX, perche' quegli altri ci sembra che abbiano smesso di profumare".In parole povere: pagliuzze altrui per distrarre dalla propria trave nell'oXXXX.panda rossaRe: M$ e la trave nell'oXXXX
- Scritto da: panda rossa> - Scritto da: ...> > Tu decidi di correggere o no i bug in base a> chi> > te li> > segnala?> > Quando quella che ti chiami "segnalare i bug"> avviene mediante PI invece che utilizzando il> canale preposto, Nell'articolo che non hai letto è spiegato che MS aveva avvisato Google il 14 Settembre.> non si chiama piu' "segnalare i> bug" ma si chiama "smettete per qualche secondo> di parlare della nostra XXXXX, perche' quegli> altri ci sembra che abbiano smesso di> profumare".Se MS volesse fare apparire che non esistono bug di sicurezza nei suoi prodotti non rilascerebbe mai le patch, quindi il tuo discorso non sta in piedi.> In parole povere: pagliuzze altrui per distrarre> dalla propria trave> nell'oXXXX.Quale trave ? Questa ?http://punto-informatico.it/4407767/PI/News/android-scoperta-ennesima-botnet.aspxcorto malteseRe: M$ e la trave nell'oXXXX
- Scritto da: panda rossa> Quando quella che ti chiami "segnalare i bug"> avviene mediante PI invece che utilizzando il> canale preposto, non si chiama piu' "segnalare i> bug" ma si chiama "smettete per qualche secondo> di parlare della nostra XXXXX, perche' quegli> altri ci sembra che abbiano smesso di> profumare".Sai che sei su un sito di notizie sì?Sai che una notizia altro non è che la divulgazione di un avvenimento a chi non vi era presente sì?> In parole povere: pagliuzze altrui per distrarre> dalla propria trave> nell'oXXXX.In parole povere, ti stai arrampicando (malamente) sugli specchi per dare addosso a MS...Re: M$ e la trave nell'oXXXX
Microsoft¹ è spacciata da tempo. Il declino irreversibile è lento ma è iniziato da molto tempo.Gli attuali nemici delle libertà sono google¹, facebook¹, apple¹ e red hat¹. E' tempo che ti aggiorni o mi sa c'è la trave nell'occhio ce l'hai tu. Ti faccio un esempio Google si comporta molto male nei confronti della privacy dei suoi utenti, peggio di microsoft anche considerando che Windows10 sia un malware/spyware. Basta non usarlo e sei a posto. Invece se ti trovi costretto a inviare un'email a un contatto che ha solo gmail non ci puoi fare niente se non entrare nel database di google (aveva "annunciato" che non legge più le email altrui per profilazione ma tutti sanno che non c'è da fidarsi di G. in quanto ¹ ).In questo caso microsoft ha ragione a bacchettare google. Si tratta del bue che da del cornuto all'asino ma fa bene.¹ coincidenza: tutti collaboratori dell'NSAbackdoor systemdRe: M$ e la trave nell'oXXXX
- Scritto da: panda rossa> Fa abbastanza ridere vedere M$ che indica> pagliuzze> altrui.Più che altro Google predica bene e razzola male. Solo che chi è avvezzo ad un tale genere di comportamenti non li riesce a vedere a causa della trave che ha nel.....Indovina un po' di chi parlo ?corto malteseRe: M$ e la trave nell'oXXXX
- Scritto da: corto maltese> - Scritto da: panda rossa> > Fa abbastanza ridere vedere M$ che indica> > pagliuzze> > altrui.> > Più che altro Google predica bene e razzola male. Da quando chrome e' preinstallato sui sistemi M$?> Solo che chi è avvezzo ad un tale genere di> comportamenti non li riesce a vedere a causa> della trave che ha> nel.....> Indovina un po' di chi parlo ?Di M$. Altrimenti saresti fuori tema.panda rossaRe: M$ e la trave nell'oXXXX
- Scritto da: panda rossa> Da quando chrome e' preinstallato sui sistemi M$?Ha il market share più alto, quindi mette a rischio la sicurezza di molti utenti Windows.Il fatto che a panda rossa non freghi nulla non rende meno importante questo fatto, al limite rende meno importante panda rossa o quello che pensa. > > Solo che chi è avvezzo ad un tale genere di> > comportamenti non li riesce a vedere a causa> > della trave che ha> > nel.....> > Indovina un po' di chi parlo ?> > Di M$. Risposta sbagliata.> Altrimenti saresti fuori tema.Come qui per esempio ? http://punto-informatico.it/b.aspx?i=4407097&m=4407292#p4407292corto malteseRe: M$ e la trave nell'oXXXX
- Scritto da: panda rossa> Da quando chrome e' preinstallato sui sistemi M$?Esiste un solo browser. E il suo nome è Chromium (e derivati).unicoe' buffo pero'
Anche se si sono sbrodolati parecchio addosso su come la site isolation funzioni bene in Edge, hanno anche fatto i complimenti a google per la velocita' di fixing... poi ok li hanno bacchettati per aver messo prima su github il codice, che la distribuzione della build.. PERO' dicono anche for this issue does not immediately give away the underlying vulnerability..quindi insomma in realta' non c'e' nessun vero litigio e neanche un grave pericolobubbaRe: e' buffo pero'
Ma si ma il litigio lo vedono solo qui su PI, tanto per fare FUD e dar del cibo a Panda e simili.MaxRe: e' buffo pero'
- Scritto da: bubba> Anche se si sono sbrodolati parecchio addosso su> come la site isolation funzioni bene in Edge,> hanno anche fatto i complimenti a google per la> velocita' di fixing... poi ok li hanno> bacchettati per aver messo prima su github il> codice, che la distribuzione della build..> > PERO' dicono anche for this issue does not> immediately give away the underlying> vulnerability..> quindi insomma in realta' non c'e' nessun vero> litigio e neanche un grave> pericoloE tu dopo tutti questi anni credi ancora a M$?panda rossaRe: e' buffo pero'
- Scritto da: panda rossa> - Scritto da: bubba> > Anche se si sono sbrodolati parecchio> addosso> su> > come la site isolation funzioni bene in Edge,> > hanno anche fatto i complimenti a google per> la> > velocita' di fixing... poi ok li hanno> > bacchettati per aver messo prima su github il> > codice, che la distribuzione della build..> > > > PERO' dicono anche for this issue does not> > immediately give away the underlying> > vulnerability..> > quindi insomma in realta' non c'e' nessun> vero> > litigio e neanche un grave> > pericolo> > E tu dopo tutti questi anni credi ancora a M$?e che c'e da credere? sono fatti. anche la sbrodolata e' un fatto (guarda quanto e' lunga la loro analisi)bubbaGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 20 ott 2017Ti potrebbe interessare