Diffuso malware tramite media player Eltima nei sistemi MacOS

Diffuso malware tramite media player Eltima nei sistemi MacOS

I laboratori Eset hanno individuato che tramite una versione del media player Eltima veniva diffuso il malware OSX/Proton , già noto per operazioni di questo genere in quanto accaduto un fatto simile con il software HandBrake a maggio di quest’anno

Il malware in oggetto, nello specifico, crea una backdoor con capacità di furto dati, tra i quali:

  • dettagli sul sistema operativo come  serial number dell’hardware, nome completo dell’utente corrente, data ed ora 
  • Informazioni salvate nel browser come la cronologia, cookie, segnalibri, password ecc
  • Portafogli di monete virtuali come Electrum, Bitcoin Core ecc
  • Dati privati SSH 
  • i dati del portachiavi di sistema usando una versione modificata di Chainbreaker
  • Configurazioni di applicazioni VPN
  • Lista delle applicazioni installate nel sistema 

Come capire se si è infetti 

Per verificare se siamo infetti basterà controllare che NON siano presenti le seguenti directory: 

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

Se avete scaricato l’applicazione il 19 ottobre prima delle 15 probabilmente potreste essere infetti. Eset riporta che il metodo per pulire l’infezione ed essere certi della rimozione del malware è la re-installazione del sistema operativo:

Come installare macOS

Prima di questo, procedere al salvataggio di sicurezza dei propri dati in un disco esterno.

Successivamente modificare gli account probabilmente compromessi sostituendone le password di accesso. 

Ulteriori informazioni disponibili nel blog ufficiale Eset: https://www.welivesecurity.com/2017/10/20/osx-proton-supply-chain-attack-elmedia/

 

 

Leggi  PowerPool, il malware che sfrutta la vulnerabilità zero-day di Windows ALPC

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

NON seguire questo link o sarai bannato dal sito!