Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ben Schwan 24

Mac-Shareware-Downloads mit signiertem Trojaner

Mac-Shareware-Downloads mit signiertem Trojaner

Der Elmedia Player ist auf dem Mac beliebt.

Bild: Hersteller

Die Apps Folx und Elmedia Player wurden nach einem Hack über deren Websites inklusive der "Proton"-Malware vertrieben. Der Hersteller empfiehlt eine Neuinstallation betroffener Maschinen.

Der Shareware-Anbieter Eltima hat mitgeteilt, dass zwei seiner macOS-Apps im Oktober zusammen mit dem Datenschädling "Proton" ausgeliefert wurden. Betroffen sind die Apps Elmedia Player (Multimedia-Abspieler) sowie Folx (Download-Manager), wie ZDNet berichtet. Laut bisherigen Erkenntnissen wurden die Server von Eltima gehackt – über eine Sicherheitslücke in der tiny_mce-JavaScript-Bibliothek.

Downloads am 19. Oktober

Nach Untersuchungen des Sicherheitsanbieters Eset besteht eine "große Wahrscheinlichkeit für User", sich Proton eingefangen zu haben, wenn sie sich den Elmedia Player am 19. Oktober vor 15:15 Uhr amerikanischer Ostküstenzeit (21:15 Uhr MEZ) heruntergeladen haben. Eltima zufolge wurde der Command & Control-Server für Proton am 15. Oktober registriert, die Malware aber nicht vor dem 19. Oktober vertrieben. Automatische Updates sollen nicht kompromittiert gewesen sein. Erkennbar ist eine Infektion an verschiedenen Dateien, die sich in mehreren Pfaden auf dem Mac befinden. Laut ESET lauten diese:

"Existiert etwas davon im Dateisystem, ist die kompromittierte Elmedia-Player-Software-Anwendung auf dem Computer ausgeführt worden und OSX/Proton läuft bereits", so das Sicherheitsunternehmen. Proton verhält sich äußerst problematisch.

Was sich Proton klaut

So schnappt sich die Malware Details zum Betriebssystem, Browser-Informationen samt Cookies, Lesezeichen und Verlauf, eventuell vorhandene Börsen von Kryptowährungen, SSH-Daten, die macOS-Keychain (mittels Chainbreaker-Tool), VPN-Konfigurationen von Tunnelblick, GnuPG-Daten, 1Password-Tresore sowie eine Liste installierter Anwendungen. Proton bleibe "hartnäckig auf dem System", so ESET. Der einzig sichere Weg sei die vollständige Neuinstallation des Betriebssystems – ohne direkte Übernahme der alten Daten.

Schädling hatte gültiges Zertifikat

Problematischerweise ist es den Proton-Machern gelungen, ihre Malware auch noch mit einem gültigen Zertifikat auszustatten – entsprechend schlägt die macOS-Systemsicherung Gatekeeper nicht an. Die Proton-Entwickler schrieben dazu extra einen Wrapper. Mittlerweile soll die entsprechende Apple-Developer-ID aber zurückgezogen worden sein und auf der Eltima-Website gibt es wieder saubere Versionen des Elmedia Player und von Folx. Betroffen war beim Elmedia Player nur der direkte Download von Eltima selbst, nicht etwa die Mac-App-Store-Version.

Der Angriff erinnert stark an eine ähnliche Attacke auf den populären Video-Encoder Handbrake. Dieser wurde nach einem Hack ebenfalls mit Malware verteilt – dabei handelte es sich ebenfalls um Proton. (bsc)

24 Kommentare

Themen:

Anzeige
  1. Proton: Was sich gegen den macOS-Trojaner im Elmedia Player tun lässt

    Proton: Was man gegen den macOS-Trojaner im Elmedia Player machen kann

    In zwei beliebten Shareware-Apps wurde eine kurze Zeit lang eine Malware mitgeliefert. Mac & i zeigt, wie der Nutzer sie (hoffentlich) loswird.

  2. Mac-Version von Handbrake mit Malware verteilt

    Mac-Version von Handbrake mit Malware verteilt

    Einer der Mirror-Server des populären Open-Source-Videoencoders wurde gehackt. macOS-Nutzer sollten prüfen, ob sie sich einen Datenschädling eingefangen haben, der Passwörter entwendet.

  3. Handbrake-Trojaner: Quellcode des Mac-Entwicklerstudios Panic entwendet

    Panic

    Die auf Mac-Nutzer abzielene Malware “Proton” hat ein erstes prominentes Opfer gefordert: Unbekannte klauten den Quelltext zu mehreren Apps des Entwicklerstudios Panic. Kundendaten sind nicht betroffen, betont das Unternehmen.

  4. MacRansom und MacSpy: Mac-Malware kommt als Dienstleistung

    MacRansom und MacSpy: Mac-Malware kommt als Dienstleistung

    Unbekannte handeln mit zwei Malware-Tools, die auf macOS abzielen – darunter ein Erpressungstrojaner. Mac-Nutzer seien gewöhnlich gewillt, weiter über 1000 Dollar für die Entschlüsselung ihrer Dateien zu bezahlen, wirbt der Anbieter.

  1. Welche macOS-Version habe ich?

    Du möchtest wissen, welches Mac OS X auf deinem Rechner installiert ist? Wir erklären dir, wie du es ganz einfach herausfindest.

  2. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  3. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  1. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  2. BEV-Reichweitenermittlung nach WLTP

    Elektroautos, alternative Antriebe

    Es ist ein Ärgernis, dass die Reichweitenangabe für Batterie-elektrische Autos nach NEFZ reine Fantasie ist. Im WLTP sind die Anforderungen höher, und die Normwerte werden bei gleicher Kapazität sinken. Dennoch könnten potenzielle Käufer weiter auf die Community und die Presse angewiesen sein

  3. Die Bilder der Woche (KW 45) - Interessantes im Alltäglichen

    Die Bilder der Woche (KW 45) - Interessantes im Alltäglichen

    Gute Bilder brauchen nicht immer spektakläre Foto-Locations Manchmal tut es auch eine Außentreppe, eine U-Bahn-Station oder eine Bahnunterführung.

  4. Amazon Cloud Cam enthält Lücke für smarten Einbruchdiebstahl

    Amazon

    Amazon Key öffnet Paketboten und anderen Dienstleistern die Tür zum privaten Smarthome per Cloud-Funktion. Leider lässt sich die zugehörige Überwachungskamera mit einem Trick überlisten.

Anzeige