Eset hat vor Malware-verseuchten Downloads der Mediensoftware Elmedia Player sowie des zugehörigen Downloaders gewarnt. Sie standen vorübergehend auf den Servern des Anbieters Eltima zur Verfügung. Der bwirbt seinen Media Player mit mehr als einer Million Nutzern weltweit. Einige davon haben nun möglicherweise ihren Mac mit dem Remote Access Trojan Proton infiziert.
Zuvor hatten die unbekannten Täter die Download-Server von Eltima kompromittiert. Der Einbruch offenbarte sich am 19. Oktober, nachdem Forscher von Eset feststellten, dass der Elmedia Player Schadsoftware verbreitet. Betroffen sind Nutzer, die an dem Tag die Software bis etwa 21.15 Uhr deutscher Zeit heruntergeladen haben.
Ein Sprecher des Unternehmens bestätigte per E-Mail einen Einbruch in den Download-Server. Als Einfallstor dienste demnach eine JavaScript-Bibliothek. Wie oft die Software in diesem Zeitraum heruntergeladen wurde, ist nicht bekannt. Inzwischen bietet Eltima wieder eine bereinigte Version des Elmedia Player an.
Eset weist darauf hin, dass es den Hackern gelungen ist, den legitimen Media Player in einen signierten Wrapper zu packen und den Proton-Trojaner darin zu verstecken. Der Wrapper war zudem mit der Apple Developer ID von Eltima signiert. Sie sei inzwischen widerrufen worden. Zusammen mit Apple untersuche man noch, wie es möglich war, die offizielle Entwickler-ID für die Tarnung der Malware zu missbrauchen.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Betroffen sind offenbar nur Nutzer, die in der Zeit eine Neuinstallation der Software vorgenommen haben. Updates waren nicht mit der Malware verseucht. Sie stehen nun vor dem Problem, dass sich der Trojaner nur durch eine Neuinstallation des Betriebssystems beseitigen lässt. Eine Infektion ist unter anderem daran zu erkennen, dass sich auf dem System einer der folgenden Ordner befindet: “/tmp/Updater.app/”, “/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist”, “/Library/.rand/” oder “/Library/.rand/updateragent.app/”.
Proton installiert eine Hintertür, die es einem Angreifer erlaubt, nahezu die vollständige Kontrolle über ein System zu übernehmen. Unter anderem hat er Zugriff auf Browserdaten, Daten von Keychain, Tastatureingaben und damit auch auf Nutzernamen und Passwörter. Eset rät Betroffenen, Maßnahmen zu ergreifen, um einen Missbrauch ihrer Daten zu verhindern.
Es war nicht das erste Mal, dass es Hackern gelungen ist, den Proton-Trojaner in einer legitimen Software zu verstecken. Im Mai wurden die Download-Server des Open-Source-Video-Tools Handbrake kompromittiert. Die infizierte Version war rund 4 Tage lang verfügbar. Die Wahrscheinlichkeit, in dem Zeitraum eine infizierte Version von Handbrake erhalten zu haben, lag bei 50 Prozent.
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Mit dem Quantum Act will die EU erstmals eine koordinierte Strategie auf den Weg bringen,…
Telekom und Qunnect gelingt stabilste und längste Übertragung von verschränkten Photonen über ein kommerzielles Glasfasernetzwerk.
Mit genKI gerät die Ära von Software as a Service ins Wanken. Die Alternative sind…
Event: Anwendertagung und Fachausstellung "Quantum Photonics" am 13. und 14. Mai 2025 in Erfurt.
Mit dem Cyber Resilience Act, dem Data Act, der Produktsicherheitsverordnung und der neuen Produkthaftungsrichtlinie greift…
Fred, der KI-gesteuerte digitale Assistent, nutzt den Generative AI Service der OCI und die Oracle…
