I laboratori Eset hanno individuato che tramite una versione del media player Eltima veniva diffuso il malware OSX/Proton , già noto per operazioni di questo genere in quanto accaduto un fatto simile con il software HandBrake a maggio di quest’anno.
Il malware in oggetto, nello specifico, crea una backdoor con capacità di furto dati, tra i quali:
- dettagli sul sistema operativo come serial number dell’hardware, nome completo dell’utente corrente, data ed ora
- Informazioni salvate nel browser come la cronologia, cookie, segnalibri, password ecc
- Portafogli di monete virtuali come Electrum, Bitcoin Core ecc
- Dati privati SSH
- i dati del portachiavi di sistema usando una versione modificata di Chainbreaker
- Configurazioni di applicazioni VPN
- Lista delle applicazioni installate nel sistema
Come capire se si è infetti
Per verificare se siamo infetti basterà controllare che NON siano presenti le seguenti directory:
- /tmp/Updater.app/
- /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
- /Library/.rand/
- /Library/.rand/updateragent.app/
Se avete scaricato l’applicazione il 19 ottobre prima delle 15 probabilmente potreste essere infetti. Eset riporta che il metodo per pulire l’infezione ed essere certi della rimozione del malware è la re-installazione del sistema operativo:
Prima di questo, procedere al salvataggio di sicurezza dei propri dati in un disco esterno.
Successivamente modificare gli account probabilmente compromessi sostituendone le password di accesso.
Ulteriori informazioni disponibili nel blog ufficiale Eset: https://www.welivesecurity.com/2017/10/20/osx-proton-supply-chain-attack-elmedia/