ESET、Macのユーザーデータを盗み出すトロイの木馬「Proton」が「Elmedia Player」や「Folx」に感染していたと発表。

スポンサーリンク

 ESETが感染したMacのユーザーデータを盗み出すトロイの木馬「Proton」が「Elmedia Player」や「Folx」に感染していたと発表しています。詳細は以下から。


 スロバキアのセキュリティ企業ESETは現地時間2017年10月20日、Mac用ファイルマネージャー「Commander One」や「CloudMounter」などを開発&販売しているドイツEltima Softwareの「Elmedia Player」および「Folx」が今年05月に猛威を奮ったトロイの木馬「Proton」に感染していることを確認したと発表しています。

During the last hours, ESET researchers noticed that Eltima, the makers of the Elmedia Player software, have been distributing a version of their application trojanized with the OSX/Proton malware on their official website. ESET contacted Eltima as soon as the situation was confirmed. Eltima was very responsive and maintained an excellent communication with us throughout the incident.

OSX/Proton spreading again through supply-chain attack – WeLiveSecurity

スポンサーリンク

感染されたアプリ

 ESETはProtonを発見した現地時間2017年10月19日付でEltimaと連絡を取り両セキュリティーチームが影響を調べた結果、Eltimaのサーバーが10月19日にハッキングされ、悪意のある攻撃者によりディアプレーヤー「Elmedia Player」およびメディアダウンローダー「Folx」のDMGにProtonが同梱されたことが確認できたそうで、

Elmedia Player と Folxのアイコン

Our cybersecurity team in close coordination with ESET Team and Apple representatives took all the necessary steps and actions to stop the distribution of this Malware successfully.

Elmedia Player and Folx malware threat Neutralized! – Eltima

ESETおよびEltimaのタイムラインは以下の通りで、Eltimaは既にAppleのセキュリティチームにこれを報告しているため、Appleの判断次第でmacOS/OS Xのウィルス定義データベース「XProtect」がアップデートされると思われますが、

ESET/Eltimaのタイムライン

  • 2017-10-19 : Elmedia PlayerがProtonに感染していたことを確認。
  • 2017-10-19 10:35am EDT: ESETがEltimaに情報を提供 via Eメール。
  • 2017-10-19 2:25pm EDT: Eltimaが問題を確認し、対策を開始。
  • 2017-10-19 3:10pm EDT: Eltimaが同社のインフラから問題のあるアプリを削除し、正しいアプリを再び提供。
  • 2017-10-19 10:12am EDT: Eltimaが公式サイトに警告を掲示。
  • 2017-10-20 12:15pm EDT: Protonが同梱されたFolxの情報を追加。

もし、今回のProtonの被害が気になる方は以下の事をチェックしてみて下さい。

  • 日本時間(JST)2017年10月20日の午前04時10分以前にEltimaの公式サイトから「Eltima Player」および「Folx」をダウンロードした。
  • 以下のファイルやディレクトリが存在する場合、既にProtonの亜種に感染している可能性が高い。
    • /tmp/Updater.app/
    • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
    • /Library/.rand/
    • /Library/.rand/updateragent.app/
  • 公式サイト版のEltima PlayerおよびFolxの自動アップデートプログラムは影響を受けていない。

新しいProtonに対応しているウィルス対策ソフト

 ProtonのMatch-Oファイルが確認されたDMGのSHA-1/SHA256は以下の通りで、既にSymantecやAvastなど複数のウィルス対策ソフトが検出に対応しています。

Protonを同梱したElmedia Player

Proton

 Protonについては現在AppleがXProtectで”OSX.Proton.A“, “OSX.Proton.B“をブロックしており、特に”OSX.Proton.B”については同様の手口でHandBrakeのサーバーがハッキングされ、実際にPanic社のCodaやTransmitのソースコードが盗まれるという被害も出ています。

2017年05月06日にアップデートされたXProtect v2091をCritical Updatesアプリとplistで確認

追記

 Eltima Softwareのアプリに同梱されていた”Proton”の亜種はsudoersファイルを編集し、macOS 10.12 Sierraでデフォルトとされた”tty_tickets”オプションを無効にするそうです。

コメント

  1. 匿名 より:

    さすがえーせっと

  2. 匿名 より:

    「ESET/Eltimaのタイムライン」
    の時系列をもう一度確認をお願いします。
    一部で入れ違っている感じがします。