苹果macOS热门播放器应用又被植入木马

在开发者的服务器遭到入侵后，一款受欢迎的Mac OS X媒体播放器和一款配套的下载管理器的下载感染了木马病毒。

软件开发商Eltima的Elmedia Player应用拥有超过一百万用户，其中一些人可能也无意中安装了 Proton，这是一种远程访问木马，专门针对mac电脑，目的是入侵和盗窃用户信息。攻击者还设法通过同样的恶意软件，破坏了另一款Eltima产品——Folx。

Proton 后门系统为攻击者提供了几乎完整的入侵系统视图，可以窃取浏览器信息、密钥日志、用户名和密码、加密货币钱包、macOS keychain数据等等。

在给外界媒体的一封电子邮件中，Eltima的发言人表示，该恶意软件是通过下载来分发的，因为攻击者“在我们服务器上的tinymce JavaScript库中使用了未知安全漏洞”。

这一事件最早于10月19日被曝光，当时该公司的网络安全研究人员注意到Elmedia Player正在分发 Proton 木马恶意软件。如果用户在美国东部时间下午3:15之前从Eltima下载了软件，那么他们的系统可能已经被恶意软件攻陷。

如果系统上有下列文件或目录，则意味着系统上安装了Elmedia Player的木马病毒：

/tmp/Updater.app/

/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

/Library/.rand/

/Library/.rand/updateragent.app/

不知通过何种方式，攻击者设法在正常媒体播放器周围建立了一个签名的包装器，从而导致了 Proton 病毒与之捆绑在一起。事实上，研究人员表示，他们观察到了包装器的签名，所有这些包装都是用同一个苹果开发者ID进行的。

Eltima已经通报苹果已经撤销了这一ID，并与苹果合作，以查明最初的恶意行为是如何进行的。一名Eltima的发言人告诉媒体，虽然恶意的命令和控制程序是在10月15日注册的，但直到10月19日软件才开始散布恶意木马。

对于那些不幸成为此次攻击的受害者——这种攻击只涉及到Elmedia Player的最新下载，自动更新没有被攻破——摆脱恶意软件的唯一办法是进行完整的操作系统重新安装。

受害者还被警告说，他们应该采取“适当的措施”来确保他们的数据不能被攻击者利用。

用户现在可以从Eltima网站下载一款干净的Elmedia Player，该公司表示现在已经没有任何不受控制的病毒或木马危害了。

作为对这一事件的回应，Eltima表示，该公司已采取行动，防范未来的攻击，并改善服务器安全。不少新闻媒体就这件事询问了苹果，公司的一位发言人回应道，“在目前这个阶段，我们没有什么可补充的”。

这并不是 Proton 木马第一次通过供应源攻击的方式进行感染。今年5月，刚刚下载了苹果Mac的HandBrake视频转码器的用户们就被告知，有50%的几率从一个泄露的镜像文件中感染了该木马。