การโจมตีห่วงโซ่อุปทานของซอฟต์แวร์อื่นโจมตีผู้ใช้ Mac หลายร้อยราย
OSX Proton มัลแวร์ชั่วร้ายกลับมาแล้ว! คราวนี้มีแอพ Elmedia ติดไวรัสสองแอพ - Elmedia Player และแอพ Folx แบบเดียวกับที่ปรับใช้ในแอพตัวถอดรหัสวิดีโอโอเพ่นซอร์ส HandBrake - ในเดือนพฤษภาคม
แต่คราวนี้มีความซับซ้อนมากขึ้นเนื่องจากใช้ ID นักพัฒนาที่ถูกต้องตามกฎหมายชื่อ "Clifon Grimm" มันถูกใช้เพื่อพันรอบแอพของแท้เพื่อรวมโปรตอนเข้าด้วยกัน
ทันทีที่มีการรายงานปัญหา Apple เพิกถอนใบรับรอง
เครื่องเล่นสื่อเอนกประสงค์ยอดนิยมสำหรับ Mac ซึ่งรองรับรูปแบบไฟล์เกือบทั้งหมดตั้งแต่ FLV, MP4, AVI, MOV, DAT, MKV, MP3, FLAC, M4V และอีกมากมายที่คุณนึกออก มันให้การเล่น HD ที่ราบรื่นโดยไม่มีปัญหาการหยุดชะงักหรือช้าลง
แอป Elmedia ถูกบุกรุกอย่างไร
แฮกเกอร์ใช้การละเมิดความปลอดภัยในไลบรารี่ tiny_mce Javascript บนเซิร์ฟเวอร์เพื่อแฮ็กเข้าสู่เซิร์ฟเวอร์ของบริษัทและแพร่ระบาดในผลิตภัณฑ์สองรายการ ได้แก่ แอป Eltima Player และแอป Folx เนื่องจากแอปถูกห่อหุ้มด้วย ID นักพัฒนาที่ถูกต้อง มัลแวร์จึงหลบหนีจากการรักษาความปลอดภัยได้อย่างง่ายดาย
ดูสิ่งนี้ด้วย: วิธีกำจัดมัลแวร์บน Mac
โปรตอนเป็นโทรจันเข้าถึงระยะไกลที่ทรงพลังพร้อมความสามารถในการขโมยและสอดแนม (RAT) ที่กำหนดเป้าหมายไปยัง Mac ช่วยให้ผู้โจมตีเข้าถึงระบบลับๆ เพื่อเข้าสู่ระบบที่ถูกบุกรุก
เขียนใน Objective C มันทำงานโดยไม่มีการพึ่งพาใด ๆ และได้รับการส่งเสริมโดยนักพัฒนาในฐานะa “โซลูชันการเฝ้าระวังและควบคุม FUD ระดับมืออาชีพ ซึ่งคุณสามารถทำได้เกือบทุกอย่างด้วย (a) Mac ของเป้าหมาย”
ด้วยสิทธิ์การเข้าถึงระดับราก Proton ทำงานเป็นคีย์ล็อกเกอร์ อัปโหลดและดาวน์โหลดไฟล์ ถ่ายภาพหน้าจอ เข้าถึงเว็บแคม การเชื่อมต่อ SSH และ VNC แม้กระทั่งการรับข้อมูลอย่างสุดขั้ว เช่น หมายเลขบัตรเครดิต
มัลแวร์โปรตอนทำงานอย่างไร
ใช้เพื่อรวบรวมข้อมูลจากโฮสต์ที่ติดไวรัส เช่น รายละเอียดระบบปฏิบัติการ อนุญาตให้ขโมยรหัสผ่านของเบราว์เซอร์ คุกกี้ของเบราว์เซอร์ & ประวัติ, ข้อมูลเกี่ยวกับกระเป๋าเงิน cryptocurrency, คีย์ส่วนตัว SSH, ข้อมูลพวงกุญแจ macOS, การกำหนดค่า VPN, ข้อมูล GnuPG, ข้อมูล 1Password และอีกมากมาย มากกว่า.
นอกจากนี้ยังสามารถดาวน์โหลดและเรียกใช้มัลแวร์ใหม่บนโฮสต์ที่ติดไวรัสได้อีกด้วย
เมื่อผู้ใช้ดาวน์โหลดแอปที่ติดไวรัส 2 ตัว OSX Proton โจมตี Mac และให้ผู้โจมตีได้เห็นระบบที่ถูกบุกรุกเกือบสมบูรณ์
หากคุณดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ Eltima เมื่อวันที่ 19 ตุลาคม Octoberth ก่อน 15:15 น. EDT และเปิดใช้งาน ระบบของคุณอาจถูกบุกรุก
Mac ของฉันถูกบุกรุกหรือไม่?
กังวลเกี่ยวกับ Mac ของคุณและต้องการทราบว่ามันติดไวรัสหรือไม่? หากคุณเพิ่งดาวน์โหลดแอป Elmedia Player หรือ Folx เพื่อตรวจสอบ ให้ค้นหาโฟลเดอร์/ไดเร็กทอรีต่อไปนี้ในเครื่องของคุณ:
/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/
หากพบไฟล์เหล่านี้ แสดงว่ามีการติดตั้ง Elmedia Player เวอร์ชันโทรจันและ Proton มีแนวโน้มสูงว่ากำลังทำงานอยู่บนระบบ
อย่างไรก็ตาม กลไกการอัปเดตอัตโนมัติในตัวดูเหมือนจะไม่ได้รับผลกระทบ
จะกำจัดการติดเชื้อได้อย่างไร?
ผู้ที่ตกเป็นเหยื่อของการโจมตีครั้งนี้จะต้องทำการติดตั้งระบบปฏิบัติการใหม่ทั้งหมดและดาวน์โหลด Elmedia Player ใหม่ การอัปเดตอัตโนมัติ นี่เป็นวิธีเดียวที่จะกำจัดมัลแวร์ได้อย่างแน่นอน เหยื่อควรใช้มาตรการที่เหมาะสมเนื่องจากส่วนที่ได้รับผลกระทบดังกล่าวถูกบุกรุก
บทสรุป
นี่ไม่ใช่ครั้งแรกที่เว็บไซต์ของผู้จำหน่ายซอฟต์แวร์ Mac ถูกบุกรุก มีการสังเกตเห็นความพยายามอื่น ๆ หลายครั้งในลักษณะเดียวกัน เนื่องจาก OSX Proton ขายบนเว็บมืดทำให้เข้าถึงแฮกเกอร์ได้ง่าย เราทุกคนต่างไว้วางใจระบบ Mac สำหรับคุณลักษณะด้านความปลอดภัย แต่แฮกเกอร์จะไม่พลาดโอกาสในการโจมตี ดังนั้น อย่าคิดว่าคุณปลอดภัย วิธีเดียวที่จะอยู่อย่างปลอดภัยได้คือระมัดระวัง