Неизвестные злоумышленники скомпрометировали сайт Eltima (компании-разработчика приложений для Windows и macOS) с целью размещения вредоносных версий популярного приложения Elmedia Player.
По информации ESET, свежие версии Elmedia Player содержали троян для удаленного доступа (Remote Access Trojan, RAT) Proton, предназначенный для систем на базе macOS.
Proton – очень мощная вредоносная программа, позволяющая злоумышленнику удаленно похищать данные с зараженного устройства, в том числе данные об операционной системе, пароли в браузере, историю просмотров, файлы cookie, закрытые SSH-ключи, данные о криптовалютных кошельках, конфигурации VPN, данные GnuPG и так далее. Помимо этого Proton может использоваться для загрузки дополнительного вредоносного ПО.
На присутствие трояна на Mac указывают папки:
/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/
На данный момент приложение на сайте не представляет угрозы – администраторы удалили зараженную версию Elmedia Player 19 октября, сразу после того, как эксперты из ESET уведомили их об инциденте.
Число пользователей приложения по состоянию на август 2017 года 1 млн человек. Когда именно злоумышленники взломали сайт и разместили вредоносные ссылки, на данный момент неизвестно.
Источник: securitylab.ru
