マイク・ワーテル
· 2分で読めます
人気のメディア消費アプリケーション Elmedia Player とダウンロードツール Folx は両方とも Proton マルウェアに一時的に感染し、10 月 19 日のソフトウェアのインストールのほとんどが現在感染している。
セキュリティ企業ESETの研究者は金曜日、無料のElmedia Playerインストーラーが10月19日のある期間、マルウェアに感染していたと報告しました。このマルウェアは正規のインストーラーに便乗していましたが、これは5月にメディアトランスコーディングツールHandbrakeのインストールに便乗したのとほぼ同じ手法です。ただし今回は、証明書に正規の開発者IDが使用されていました。
正規のバイナリの代わりに使用されたバイナリは、「Clifon Grimm」という名前の開発者IDで署名されていました。このIDの出所は不明ですが、Appleが証明書を取り消す前は正規のものでした。
ESETによると、10月19日午後3時15分までにインストーラをダウンロードして実行したユーザーは「おそらく感染している」とのことだ。感染したユーザーの数は不明だ。
ESETは、「管理者アカウントの侵害の場合と同様に、OSの完全な再インストールがマルウェアを除去する唯一確実な方法です」と述べている。「被害者は、機密情報が漏洩したと想定し、それらを無効化するための適切な措置を講じるべきです。」
ESET がリストした秘密には、システム整合性保護のステータスや一部の位置情報などのオペレーティング システム データ、Cookie やログイン データなどのさまざまなブラウザー データ、暗号通貨ウォレット、SSH プライベート データ、macOS キーチェーン データ、1Password データ、インストールされているアプリケーションのリストなどが含まれています。
Elmedia PlayerとFolxのフルインストーラーはマルウェアに感染していました。問題の期間中に組み込みメカニズムを通じてアップデートされたアプリケーションは、影響を受けていないようです。
以下のファイルのいずれかまたはすべてが存在する場合、OSX/Proton による攻撃があることを示します。
/tmp/アップデータ.app//ライブラリ/LaunchAgents/com.Eltima.UpdaterAgent.plist
/ライブラリ/.rand/
/ライブラリ/.rand/updateragent.app/
「Proton」は、macOSシステムを標的としたリモートアクセス型トロイの木馬(RAT)です。Objective Cで記述されているため、依存関係なしで実行でき、作成者自身は「標的のMacでほぼすべての操作を実行できる、プロフェッショナルなFUD監視・制御ソリューション」と謳っています。
ルートアクセス権限を持つ場合、キーロギング、ファイルのアップロードとダウンロード、スクリーンショット、ウェブカメラへのアクセス、SSHおよびVNC接続などの操作が実行可能となります。また、このマルウェアは被害者にカスタムウィンドウを表示し、クレジットカード番号などの追加情報を要求することもできるとされています。
以前は、このツールの入手には100ビットコイン(当時のレートで12万6000ドル)かかり、ライセンス料は無制限にインストールできるというものだったが、他者からの批判を受けて、無制限にインストールできる場合は40ビットコイン(5万400ドル)、1回のインストールの場合は2ビットコイン(2512ドル)に値下げされた。
