Categories: CybersicherheitVirus

Trojaner für Mac OS X über manipulierte Software verbreitet

Eset hat vor Malware-verseuchten Downloads der Mediensoftware Elmedia Player sowie des zugehörigen Downloaders gewarnt. Sie standen vorübergehend auf den Servern des Anbieters Eltima zur Verfügung. Der bwirbt seinen Media Player mit mehr als einer Million Nutzern weltweit. Einige davon haben nun möglicherweise ihren Mac mit dem Remote Access Trojan Proton infiziert.

Zuvor hatten die unbekannten Täter die Download-Server von Eltima kompromittiert. Der Einbruch offenbarte sich am 19. Oktober, nachdem Forscher von Eset feststellten, dass der Elmedia Player Schadsoftware verbreitet. Betroffen sind Nutzer, die an dem Tag die Software bis etwa 21.15 Uhr deutscher Zeit heruntergeladen haben.

Ein Sprecher des Unternehmens bestätigte per E-Mail einen Einbruch in den Download-Server. Als Einfallstor dienste demnach eine JavaScript-Bibliothek. Wie oft die Software in diesem Zeitraum heruntergeladen wurde, ist nicht bekannt. Inzwischen bietet Eltima wieder eine bereinigte Version des Elmedia Player an.

Eset weist darauf hin, dass es den Hackern gelungen ist, den legitimen Media Player in einen signierten Wrapper zu packen und den Proton-Trojaner darin zu verstecken. Der Wrapper war zudem mit der Apple Developer ID von Eltima signiert. Sie sei inzwischen widerrufen worden. Zusammen mit Apple untersuche man noch, wie es möglich war, die offizielle Entwickler-ID für die Tarnung der Malware zu missbrauchen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Betroffen sind offenbar nur Nutzer, die in der Zeit eine Neuinstallation der Software vorgenommen haben. Updates waren nicht mit der Malware verseucht. Sie stehen nun vor dem Problem, dass sich der Trojaner nur durch eine Neuinstallation des Betriebssystems beseitigen lässt. Eine Infektion ist unter anderem daran zu erkennen, dass sich auf dem System einer der folgenden Ordner befindet: “/tmp/Updater.app/”, “/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist”, “/Library/.rand/” oder “/Library/.rand/updateragent.app/”.

Proton installiert eine Hintertür, die es einem Angreifer erlaubt, nahezu die vollständige Kontrolle über ein System zu übernehmen. Unter anderem hat er Zugriff auf Browserdaten, Daten von Keychain, Tastatureingaben und damit auch auf Nutzernamen und Passwörter. Eset rät Betroffenen, Maßnahmen zu ergreifen, um einen Missbrauch ihrer Daten zu verhindern.

Es war nicht das erste Mal, dass es Hackern gelungen ist, den Proton-Trojaner in einer legitimen Software zu verstecken. Im Mai wurden die Download-Server des Open-Source-Video-Tools Handbrake kompromittiert. Die infizierte Version war rund 4 Tage lang verfügbar. Die Wahrscheinlichkeit, in dem Zeitraum eine infizierte Version von Handbrake erhalten zu haben, lag bei 50 Prozent.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago