Categories: CybersicherheitVirus

Trojaner für Mac OS X über manipulierte Software verbreitet

Eset hat vor Malware-verseuchten Downloads der Mediensoftware Elmedia Player sowie des zugehörigen Downloaders gewarnt. Sie standen vorübergehend auf den Servern des Anbieters Eltima zur Verfügung. Der bwirbt seinen Media Player mit mehr als einer Million Nutzern weltweit. Einige davon haben nun möglicherweise ihren Mac mit dem Remote Access Trojan Proton infiziert.

Zuvor hatten die unbekannten Täter die Download-Server von Eltima kompromittiert. Der Einbruch offenbarte sich am 19. Oktober, nachdem Forscher von Eset feststellten, dass der Elmedia Player Schadsoftware verbreitet. Betroffen sind Nutzer, die an dem Tag die Software bis etwa 21.15 Uhr deutscher Zeit heruntergeladen haben.

Ein Sprecher des Unternehmens bestätigte per E-Mail einen Einbruch in den Download-Server. Als Einfallstor dienste demnach eine JavaScript-Bibliothek. Wie oft die Software in diesem Zeitraum heruntergeladen wurde, ist nicht bekannt. Inzwischen bietet Eltima wieder eine bereinigte Version des Elmedia Player an.

Eset weist darauf hin, dass es den Hackern gelungen ist, den legitimen Media Player in einen signierten Wrapper zu packen und den Proton-Trojaner darin zu verstecken. Der Wrapper war zudem mit der Apple Developer ID von Eltima signiert. Sie sei inzwischen widerrufen worden. Zusammen mit Apple untersuche man noch, wie es möglich war, die offizielle Entwickler-ID für die Tarnung der Malware zu missbrauchen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Betroffen sind offenbar nur Nutzer, die in der Zeit eine Neuinstallation der Software vorgenommen haben. Updates waren nicht mit der Malware verseucht. Sie stehen nun vor dem Problem, dass sich der Trojaner nur durch eine Neuinstallation des Betriebssystems beseitigen lässt. Eine Infektion ist unter anderem daran zu erkennen, dass sich auf dem System einer der folgenden Ordner befindet: “/tmp/Updater.app/”, “/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist”, “/Library/.rand/” oder “/Library/.rand/updateragent.app/”.

Proton installiert eine Hintertür, die es einem Angreifer erlaubt, nahezu die vollständige Kontrolle über ein System zu übernehmen. Unter anderem hat er Zugriff auf Browserdaten, Daten von Keychain, Tastatureingaben und damit auch auf Nutzernamen und Passwörter. Eset rät Betroffenen, Maßnahmen zu ergreifen, um einen Missbrauch ihrer Daten zu verhindern.

Es war nicht das erste Mal, dass es Hackern gelungen ist, den Proton-Trojaner in einer legitimen Software zu verstecken. Im Mai wurden die Download-Server des Open-Source-Video-Tools Handbrake kompromittiert. Die infizierte Version war rund 4 Tage lang verfügbar. Die Wahrscheinlichkeit, in dem Zeitraum eine infizierte Version von Handbrake erhalten zu haben, lag bei 50 Prozent.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Gigabit-Datenraten im Zug

Projekt aus Bahn-, Mobilfunk- und Funkmastbranche zieht Zwischenbilanz. Start von Praxistests in erstem 5G-Korridor an…

9 Stunden ago

E-Health: Langzeitpflege mit KI

Das Fraunhofer-Institut entwickelt eine Pflegeplanung, die mit Künstlicher Intelligenz arbeiten wird. Ziel ist es, Pflegekräfte…

10 Stunden ago

Malware Mai 2024: Androxgh0st-Botnet breitet sich weiter aus

Die Lockbit3 Ransomware-Gruppe ist mittlerweile für ein Drittel der veröffentlichten Ransomware-Angriffe verantwortlich / Details zum…

16 Stunden ago

Vernetztes Fahren: Jeder zweite befürchtet Sicherheitsdefizite

Laut Kaspersky haben 52 Prozent der IT-Entscheider im Automobilbau ernsthafte Bedenken, dass vernetzte Fahrzeuge ausreichend…

16 Stunden ago

Unternehmen unterschätzen Komplexität der Digitalisierung

Studie: Projekte zur digitalen Transformation sind meist komplexer und zeitaufwändiger als erwartet.

19 Stunden ago

KI-basierte Übersetzung von Produktinformationen

Durch Anbindung des PIM-Systems an die KI-basierte Übersetzungslösung DeepL spart die J. Schmalz jährlich rund…

2 Tagen ago