La descarga de un popular reproductor multimedia para Mac OS X y su gestor de descarga han sido infectados por un troyano después de que los servidores de los desarrolladores fuesen hackeados. Elmedia Player, de Eltima cuenta con más de un millón de usuarios, muchos de los cuales al descargarlo también instalaron Proton, un troyano de acceso remoto cuyo propósito es espiar y robar contenido a dispositivos Mac. Los atacantes también infectaron otro de los productos de Eltima con el mismo troyano (Flox). La backdoor de Proton proporciona a los atacantes una vista casi general del sistema comprometido, permitiendo el robo de información de navegadores, usuarios y contraseñas, y mucho más.
Un representante de Eltima afirmó que el malware fue distribuido a través de descargas debido a que sus servidores fueron hackeados después de que los atacantes usasen una brecha de seguridad en la librería tiny_mce de JavaScript. Este suceso salió a la luz el pasado jueves, cuando los investigadores en ciberseguridad de ESET descubrieron que Elmedia Player estaba distribuyendo Proton. Los usuarios que descargasen el software antes de las 3:15 pm de ese día podían haber sido infectados. A su vez se han publicado una lista de archivos o directorios que revelan si el troyano está instalado en nuestro dispositivo. Este caso es idéntico al que sufrió el software Transmission y del que hablamos en Seguridad Apple.
De alguna forma, los atacantes lograron construir una “envoltura” firmada sobre el reproductor multimedia que resultó con la unión de Proton al software legítimo. Todo esto ocurrió con el mismo Apple ID de desarrollador. Desde ese momento el ID de Apple ha sido revocado y Eltima y ESET están trabajando con Apple para ver cómo fue posible la realización del ataque. Un representante de Eltima ha asegurado que desde que el servidor fue registrado el 15 de octubre no había distribuido malware hasta el 19. Por suerte para algunos, los usuarios que hayan adquirido la última versión del software a través de una actualización automática no han sido infectados.
Ya hay una nueva versión de Elmedia Player libre de troyanos y se puede obtener desde la página oficial de Eltima y su seguridad está garantizada por ESET. En respuesta al incidente Eltima ha asegurado que ha tomado medidas para protegerse frente a posibles ataques de este tipo en un futuro y ha incrementado la seguridad de sus servidores.
Un representante de Eltima afirmó que el malware fue distribuido a través de descargas debido a que sus servidores fueron hackeados después de que los atacantes usasen una brecha de seguridad en la librería tiny_mce de JavaScript. Este suceso salió a la luz el pasado jueves, cuando los investigadores en ciberseguridad de ESET descubrieron que Elmedia Player estaba distribuyendo Proton. Los usuarios que descargasen el software antes de las 3:15 pm de ese día podían haber sido infectados. A su vez se han publicado una lista de archivos o directorios que revelan si el troyano está instalado en nuestro dispositivo. Este caso es idéntico al que sufrió el software Transmission y del que hablamos en Seguridad Apple.
- /tmp/Updater.app/
- /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
- /Library/.rand/
- /Library/.rand/updateragent.app/
Figura 1: Archivo no legitimo de Elmedia Player |
De alguna forma, los atacantes lograron construir una “envoltura” firmada sobre el reproductor multimedia que resultó con la unión de Proton al software legítimo. Todo esto ocurrió con el mismo Apple ID de desarrollador. Desde ese momento el ID de Apple ha sido revocado y Eltima y ESET están trabajando con Apple para ver cómo fue posible la realización del ataque. Un representante de Eltima ha asegurado que desde que el servidor fue registrado el 15 de octubre no había distribuido malware hasta el 19. Por suerte para algunos, los usuarios que hayan adquirido la última versión del software a través de una actualización automática no han sido infectados.
Ya hay una nueva versión de Elmedia Player libre de troyanos y se puede obtener desde la página oficial de Eltima y su seguridad está garantizada por ESET. En respuesta al incidente Eltima ha asegurado que ha tomado medidas para protegerse frente a posibles ataques de este tipo en un futuro y ha incrementado la seguridad de sus servidores.
No hay comentarios:
Publicar un comentario