Zwei macOS-Apps von dem Shareware-Anbieter Eltima wurden im Oktober zusammen mit dem Datenschädling "Proton" ausgeliefert. Betroffen sind die Apps Elmedia Player (Multimedia-Abspieler) sowie Folx (Download-Manager). Laut bisherigen Angaben wurden über eine Sicherheitslücke in der tiny_mce-JavaScript-Bibliothek die Server von Eltima gehackt.

Es besteht eine hohe Wahrscheinlichkeit für Benutzter, sich Proton eingefangen zu haben, wenn sie sich den Elmedia Player am 19. Oktober vor 15:15 Uhr amerikanischer Ostküstenzeit (21:15 Uhr MEZ) heruntergeladen haben. Dies ergaben Untersuchungen des Sicherheitsanbieters ESET. Laut ESET ist eine Infektion an verschiedenen Dateien erkennbar, die sich in folgenden Pfaden auf dem Mac befinden:

* /tmp/Updater.app/
* /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
* /Library/.rand/
* /Library/.rand/updateragent.app/

Wenn davon etwas im Dateisystem existiert, dann wurde die Elmedia-Player-Software-Anwendung auf dem Computer ausgeführt und OSX/Proton läuft bereits.

Proton sammelt Informationen zum Betriebssystem, Browser-Informationen samt Cookies, Lesezeichen und Verlauf, eventuell vorhandene Börsen von Kryptowährungen, SSH-Daten, die macOS-Keychain (mittels Chainbreaker-Tool), VPN-Konfigurationen von Tunnelblick, GnuPG-Daten, 1Password-Tresore sowie eine Liste installierter Anwendungen. Eine vollständige Neuinstallation des Betriebssystems ohne direkte Übernahme der alten Daten sei der einzige sicherste Weg, um Proton loszuwerden.

Die macOS-Systemsicherung Gatekeeper schlägt nicht an, weil es den Proton-Machern gelungen ist, ihre Malware mit einem gültigen Zertifikat auszustatten. Dazu haben die Entwickler ein extra Wrapper geschrieben.

Auf der Eltima-Website gibt es wieder eine saubere Version des Elmedia Player. Betroffen war nur der direkte Download von Eltima selbst, nicht etwa die Mac-App-Store-Version.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE