Февраль 12th, 2024 
raven000 Организация ESET открыла свежую кибернетическую атаку, направленную на клиентов ПК под регулированием ОС Эпл macOS.
Мошенникам удалось открыть веб-сайт Eltima Software — программиста. Это сделало возможным осуществить распределение заражённых трояном OSX/Proton модификаций распространенных дополнений — мультимедийного медиаплеера Elmedia Player и консультанта закачек Folx.
Представленный зловред предлагает киберпреступникам бравённый доступ к инфицированному ПК. В платформе учтены функции для кражи данных, включая информацию о клиенте и ОС, перечень поставленных дополнений, данные интернет-браузеров, номера криптовалютных виртуальных кошельков, данные связки ключей macOS, сохранённые логины и пароли.
Тест продемонстрировал, что учредители атаки сделали записанную работающим сертификатом оболочку вокруг законного дополнения Elmedia Player и вируса Proton. После закачки с веб-сайта Eltima оболочка пускает реальный плеер, а потом осуществляет в системе код Proton. Вирус вводит на дисплей фальшивое окно авторизации, чтобы получить права администратора.
ESET подчеркивает, что организация Eltima ликвидировала опасность и обновила распределение безопасных модификаций собственных товаров. Примененный мошенниками сертификат отозван организацией Эпл.
Все-таки, вирус мог угодить на ПК многих клиентов, загружавших ПО с веб-сайта Eltima. На инфицирование показывает наличие любого из следующих документов либо каталогов:
- /tmp/Updater.app/;
- /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist;
- /Library/.rand/;
- /Library/.rand/updateragent.app/.
Опубликовано в рубрике 
