Alfonso Maruccia

Proton spia ancora i Mac dai server compromessi

Individuata l'ennesima campagna malevola a base del famigerato RAT per macOS, una minaccia che ancora una volta si serve di software legittimi per diffondere l'infezione e spiare l'attività degli utenti

Roma - I ricercatori di ESET hanno scovato una nuova minaccia per sistemi macOS, un attacco pensato per distribuire il trojan ad accesso remoto (RAT) OSX/Proton attraverso un player multimediale apparentemente legittimo. Il software è stato in realtà compromesso dai cyber-criminali, e non si sa per quanto tempo sia andata avanti al distribuzione della release a base di malware.

I cracker hanno abusato del lettore multimediale Elmedia Player, realizzato da Eltima, violando i server dell'azienda e integrando una variante del RAT Proton sulle versioni recenti del software. Al momento il numero di sistemi infetti è incerto ma ESET dice di aver comunicato la presenza del malware il 19 ottobre; Eltima ha prontamente risposto ripulendo i server dalle release compromesse. Elmedia Player era un obiettivo alquanto appetibile per i cyber criminali in quanto ha recentemente festeggiato il traguardo del milione di utenti.


Proton costituisce una minaccia potenzialmente molto pericolosa, visto che il RAT è in grado di comunicare all'esterno informazioni importanti sull'host infetto come i dettagli sull'OS, i dati del browser (password incluse), le chiavi SSH private eventualmente presenti sul sistema e molto altro ancora. Ulteriore funzionalità del trojan è poi quella che permette di scaricare ed eseguire ulteriori software malevoli.
Per sincerarsi del fatto che macOS sia stato infettato o meno, gli utenti che fanno uso di Elmedia Player possono verificare la presenza delle seguenti cartelle sul sistema:

/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/

I server di Eltima rappresentano la nuova vittima di un malware che ha già fatto parlare di sé nei mesi scorsi, quando i server di un altro popolare tool (HandBrake) sono stati compromessi per diffondere il RAT Proton. La violazione dei server per distribuire codice malevolo non è poi certo una gran novità, visti i tanti casi emersi in tempi recenti sia per OS X (Transmission) che per sistemi Windows (CCleaner).

Alfonso Maruccia

fonte immagine
Notizie collegate
9 Commenti alla Notizia Proton spia ancora i Mac dai server compromessi
Ordina