Malware aangetroffen in officiële versie van Elmedia Player voor macOS

Malware (bron: FreeImages.com/Andrzej Pobiedzińsk)

Cybercriminelen zijn erin geslaagd malware te injecteren in de officiële versie van Elmedia Player voor macOS. Deze versie werd enige tijd aangeboden via de officiële website van Eltima, de ontwikkelaar van Elmedia Player.

Dit meldt ESET. Het beveiligingsbedrijf ontdekte de malware op donderdag 19 oktober en trok direct aan de bel bij Eltima. Dit bedrijf heeft direct actie ondernomen en de gewraakte versie van Elmedia Player verwijderd. Sinds 20:10 uur Nederlandse tijd wordt via de officiële website van het bedrijf weer een schone versie van de mediaspeler aangeboden. De malafide versie is niet verspreid via het geautomatiseerde updatemechanisme van Elmedia Player.

OSX/Proton

De malware die in Elmedia Player is aangetroffen is een trojan horse genaamd OSX/Proton. Deze functioneert als een backdoor en maakt het mogelijk allerlei data te stelen van geïnfecteerde systemen. Het gaat hierbij onder meer om details over het besturingssysteem, browserinformatie van Chrome, Safari, Opera en Firefox inclusief inloggegevens, cryptocurrency wallets, SSH private data, macOS keychain data, Tunnelblick VPN-configuraties, data van 1Password en data van GnuPG.

ESET adviseert gebruikers die recentelijk Elmedia Player hebben geïnstalleerd hun systeem te controleren op de aanwezig van de malware. Dit kan door te zoeken naar de volgende bestanden of mappen:

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

Indien één van deze bestanden of mappen bestaat, is het systeem besmet met OSX/Proton. ESET adviseert in dit geval het besturingssysteem volledig opnieuw te installeren om zeker te stellen dat de malware wordt verwijderd.

Niet uniek

Het is overigens niet de eerste keer dat macOS software wordt besmet met malware. Vorig jaar wisten cybercriminelen twee keer malware te verstoppen de Bittorrent client Transmission voor macOS. In het eerste geval werd de ransomware OSX/KeRanger aangetroffen in de software, terwijl de tweede keer de wachtwoordsteler OSX/Keydnap werd ontdekt. Daarnaast werd eerder dit jaar OSX/Proton aangetroffen in Handbrake.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.