供应链攻击又一例:mac 专用 elmedia 播放器和下载管理器 folx 最新版本感染 osx.proper 恶意软件
2017-10-23 10:56:58
hackernews.cc 10 月 21 日消息,网络安全公司 研究人员近期发现 macos 平台下的 elmedia player 与 folx 两款应用程序已被植入恶意软件 proton,旨在窃取目标用户敏感信息后擦除系统访问记录。
恶意软件 proton 是一款远程访问木马,其最早可追溯至 2016 年,被发现在网络犯罪论坛高价出售。调查显示,该恶意软件具备多种功能,其中包括执行控制台命令、访问用户网络摄像头、击键记录、捕获屏幕截图和打开 ssh / vnc 远程连接。此外,proton 还可以在用户的浏览器中注入恶意代码,以显示弹出窗口、询问受害者信息,例如信用卡账号及登录凭证等。
值得注意的是,该恶意软件可能会侵入受害者的 icloud 帐户,即使用户开启了双因素身份验证。知情人士透露,proton 于三月的售价就已高达 50,000 美元。据悉,eset 在发现该恶意软件后及时上报至 elmedia 并帮助其迅速展开补救措施。
研究人员表示,如果用户于 10 月 19 日之前下载了 elmedia player 或 folx 程序,其系统可能会受到影响。不过,用户可对以下文件和目录进行扫描,以检查自身设备安装是否存在恶意软件:
/tmp/updater.app/
/library/launchagents/com.eltima.updateragent.plist
/library/.rand/
/library/.rand/updateragent.app/
如果上述任何一份文件或目录受到感染,其恶意软件可以规避受害设备的杀毒软件进行分发传播。目前,eltima 研究人员表示,受害用户只能通过重新安装系统,才可消除此类感染。
官方微信