Categories: SicherheitVirus

Trojaner für Mac OS X verbreitet sich über manipulierte Software-Downloads

Der Sicherheitsanbieter Eset warnt vor mit Malware verseuchten Downloads der Mediensoftware Elmedia Player sowie des zugehörigen Downloaders. Sie standen vorübergehend auf den Servern des Anbieters Eltima zur Verfügung, der seinen Media Player mit mehr als einer Million Nutzern weltweit bewirbt. Einige davon haben nun möglicherweise ihren Mac mit einem Remote Access Trojan namens Proton infiziert.

Zuvor hatten die unbekannten Täter die Download-Server von Eltima kompromittiert. Der Einbruch offenbarte sich am 19. Oktober, nachdem Forscher von Eset feststellten, dass der Elmedia Player Schadsoftware verbreitet. Betroffen sind Nutzer, die an dem Tag die Software bis etwa 21.15 Uhr deutscher Zeit heruntergeladen haben.

Ein Sprecher des Unternehmens bestätigte per E-Mail einen Einbruch in den Download-Server. Als Einfallstor dienste demnach eine JavaScript-Bibliothek. Wie oft die Software in diesem Zeitraum heruntergeladen wurde, ist nicht bekannt. Inzwischen bietet Eltima wieder eine bereinigte Version des Elmedia Player an.

Eset weist darauf hin, dass es den Hackern gelungen ist, den legitimen Media Player in einen signierten Wrapper zu packen und den Proton-Trojaner darin zu verstecken. Der Wrapper war zudem mit der Apple Developer ID von Eltima signiert. Sie sei inzwischen widerrufen worden. Zusammen mit Apple untersuche man noch, wie es möglich war, die offizielle Entwickler-ID für die Tarnung der Malware zu missbrauchen.

Betroffen sind offenbar nur Nutzer, die in der Zeit eine Neuinstallation der Software vorgenommen haben – Updates waren indes nicht mit der Malware verseucht. Sie stehen nun vor dem Problem, dass sich der Trojaner nur durch eine Neuinstallation des Betriebssystems beseitigen lässt. Eine Infektion ist unter anderem daran zu erkennen, dass sich auf dem System einer der folgenden Ordner befindet: „/tmp/Updater.app/“, „/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist“, „/Library/.rand/“ oder „/Library/.rand/updateragent.app/“.

Proton installiert eine Hintertür, die es einem Angreifer erlaubt, nahezu die vollständige Kontrolle über ein System zu übernehmen. Unter anderem hat er Zugriff auf Browserdaten, Daten von Keychain, Tastatureingaben und damit auch auf Nutzernamen und Passwörter. Eset rät Betroffenen, Maßnahmen zu ergreifen, um einen Missbrauch ihrer Daten zu verhindern.

Es war nicht das erste Mal, dass es Hackern gelungen ist, den Proton-Trojaner in einer legitimen Software zu verstecken. Im Mai wurden die Download-Server des Open-Source-Video-Tools Handbrake kompromittiert. Die infizierte Version war rund 4 Tage lang verfügbar. Die Wahrscheinlichkeit, in dem Zeitraum eine infizierte Version von Handbrake erhalten zu haben, lag bei 50 Prozent.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Intel übertrifft die Erwartungen im vierten Quartal

Der Umsatz steigt auf 19,5 Milliarden Dollar. Es ist der höchste Quartalsumsatz in der Geschichte…

17 Stunden ago

Android-Apps unter Windows 11: Microsoft kündigt Betatest für Februar an

Microsoft realisiert die Funktion in Zusammenarbeit mit Intel und Amazon. Eigentlich sollte Windows 11 schon…

17 Stunden ago

Gartner: CO2-Emissionen von Hyperscalern beeinflussen Cloud-Einkauf

Nachhaltigkeitsinvestitionen werden zunehmen, da Umwelt-, Sozial- und Governance-Faktoren (ESG) die Berichterstattung der Unternehmen verändern.

1 Tag ago

US-Handelsministerium: Chipkrise zieht sich bis ins zweite Halbjahr 2022

Ein Grund für die anhaltende Knappheit ist die weiterhin hohe Nachfrage. Ereignisse wie die Corona-Pandemie…

2 Tagen ago

Android-Malware stiehlt Geld und löscht Daten

Der Trojaner BRATA nimmt inzwischen auch Nutzer in den USA und Spanien ins Visier. Er…

2 Tagen ago

Microsoft: Teams überschreitet Marke von 270 Millionen monatlich aktiven Nutzern

Das ist ein Plus von 20 Millionen Nutzern im Vergleich zum Juli 2022. Auch die…

2 Tagen ago