Владельцы Mac, которые недавно загрузили Elmedia Player или Folx от Eltima Software, могли непреднамеренно установить вредоносное ПО на свои компьютеры, сообщает ZDNet.

Загрузки Folx и Elmedia Player были заражены Proton, трояном удаленного доступа, после того как серверы Eltima были взломаны. Бэкдор Proton позволяет злоумышленникам получать доступ к браузерной информации, логам нажатий клавиш, именам пользователей, паролям, данным связки ключей macOS и многому другому.

В электронном письме, отправленном ZDNet, представитель Eltima заявил, что вредоносное ПО распространялось вместе с загрузками в результате того, что их серверы были «взломаны» после того, как злоумышленники «использовали уязвимость безопасности в JavaScript-библиотеке tiny_mce на нашем сервере».

Зараженное программное обеспечение было обнаружено 19 октября, и клиенты, которые загрузили программное обеспечение от Eltima в этот день до 15:15 по восточному времени, могли пострадать от вредоносного ПО. Следующие файлы будут обнаружены в зараженной системе:

— /tmp/Updater.app/
— /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
— /Library/.rand/
— /Library/.rand/updateragent.app/

Apple и Eltima отключили идентификатор разработчика, который использовался для подписи программного пакета, зараженного Proton, и Eltima сотрудничает с Apple, чтобы выяснить, что произошло.

Всем, кто пострадал от вредоносного ПО, потребуется переустановить macOS, чтобы избавиться от него. Eltima заявляет, что предприняла шаги для защиты от дальнейших атак и улучшения безопасности своих серверов. Чистые версии Elmedia Player и Folx теперь доступны на веб-сайте Eltima.