负责Mac恶意软件OSX的黑客。质子再次袭击,这次感染了Elmedia Player应用程序的一个拷贝从Eltima官方网站发布。目前,尚不清楚他们的网站多久前就提供了被劫持的应用程序。

质子是悄悄添加到苹果的XProtect定义中当时对它的了解并不多。然后,在5月,一个负责分发流行的手刹软件的服务器被黑客攻击,导致分发一个质子感染的手刹拷贝为期四天。现在,Eltima软件公司也遭到了类似的攻击。

ESET的研究人员发现了Elmedia播放器的木马拷贝周四早上,埃尔蒂玛软件在当天下午就从他们的服务器上清除了恶意软件。然而,不知有多少人已经下载了恶意拷贝的Elmedia Player,并将感染质子。

恶意的Elmedia Player应用程序看起来完全合法,即使在打开时也是如此。这是因为特洛伊木马程序实际上是一个包装器,包含真正的Elmedia Player应用程序。当恶意包装被打开时,它会打开合法的应用程序作为封面,使其看起来一切正常。

在下面的屏幕截图中,您可以在左侧窗口中看到合法Elmedia Player应用程序的内容,与右侧的恶意包装器应用程序进行比较。

这与将手刹安装到特洛伊木马的技术有点不同。在Handbrake的例子中,该软件是开源的,因此黑客能够实际编译安装了Proton恶意软件的Handbrake应用程序的恶意副本,但在其他方面表现正常。

然而,在这种情况下,Elmedia Player不是开源的,因此黑客改变了他们的方法,打开了真实应用程序的无阻尼副本。为了避免在Dock上显示两个不同的Elmedia Player应用程序,恶意包装器应用程序在其Info.plist文件中具有以下设置:

<键> LSUIElement < /关键> <真实/ >

这意味着恶意应用程序更多地被视为一个后台进程,隐藏在Dock和Force Quit窗口中,消除了用户怀疑的一个潜在原因。

恶意应用程序与合法应用程序的唯一不同之处,就像“手刹黑客”一样,是应用程序启动时的密码请求。

恶意软件研究@无障碍空间我们还注意到,Eltima软件的Folx应用程序也受到了影响,我们已经证实了这一点。由于Eltima软件已经清理了他们的系统,目前还不知道他们的其他应用程序中有多少也受到了影响。

恶意修改的Eltima应用程序都是使用发给“Clifton Grimm”的苹果开发者证书进行签名的。该证书目前已被吊销,导致这些应用程序无法运行。

恶意的行为

与Handbrake (Proton.B)遭黑客攻击的变种一样,这个变种(Proton.C)也会试图窃取包含用户密码和其他敏感信息以及浏览器信息的钥匙链和1Password库,包括为那些使用浏览器功能的人记住他们的密码登录凭证。

然而,质子c也会收集一些其他的数据。它将窃取几个不同的加密货币钱包,让黑客能够从用户那里窃取比特币等数字货币。它还获取其他数据,这些数据可以用于连接用户可访问的敏感在线资源。

此外,作为感染过程的一部分,Proton.C将在sudoers文件中添加一行,用于管理对根权限的访问:

违约! tty_tickets

通常,如果一个用户在终端中被授予了根权限,例如,这些权限将只应用于单个终端窗口(会话),而不会应用于其他任何地方。通过将这一行添加到sudoers文件的末尾,这就允许恶意软件进行一次身份验证,并且允许根权限跨所有会话。

我被感染吗?

不幸的是,我们还不知道Eltima软件的系统为特洛伊木马软件服务了多长时间。但是,如果您最近从Eltima软件下载了任何软件,您应该检查您的系统是否受到感染。识别感染的最简单方法是安装必威平台APPMac的Malwarebytes,它将免费检测和去除质子.C。

您也可以通过在Finder中的Go(转到)菜单中选择Go to Folder(转到文件夹)并输入以下路径进行检查:

/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

然后点击Go按钮。如果Finder抱怨“找不到文件夹”,这意味着您可能没有被感染——当然,前提是您在进入路径时没有犯错误。这不是我们向大多数人推荐的方法,因为可能存在人为错误,导致错误地认为系统是干净的。

如果发现感染,请确保从系统中删除任何Eltima软件应用程序,即使它们未被防病毒软件检测到,只是为了完全确定。此时重新下载干净的副本应该是安全的。

如果我被感染了怎么办?

如果您被感染,首要任务是将恶意软件从系统中清除。

在你这样做之后,你将需要开始一个更加困难的过程,即弥补漏洞的影响。您应该假定每个在线帐户的密码都已被破解,并应全部更改。一个好的密码管理器,如1Password,将在这方面发挥不可估量的作用。如果您还没有使用这样的程序,我们建议您现在就开始使用。(不要将密码管理器的主密码存储在macOS的keychain中!)

如果你有任何加密货币钱包,你将需要迅速采取行动锁定它们,在这个恶意软件背后的罪犯将你洗劫一空之前。如果你有任何信用卡或其他金融账户号码存储在钥匙链或1Password,立即联系那些金融机构,以便这些账户可以被冻结,监控或更改。

对于业务机器受影响的用户,需要立即通知IT管理员。这种恶意软件可能会给黑客提供访问你公司部分或全部内部资源所需的密钥,这可能会导致你的公司遭受入侵——如果你在一家软件公司工作,可能会导致你的公司传播另一种质子变种。

如果人们迅速采取补救措施,就可以减轻这种恶意软件的影响,并阻止感染的传播。