Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ben Schwan 13

Proton: Was sich gegen den macOS-Trojaner im Elmedia Player tun lässt

Proton: Was man gegen den macOS-Trojaner im Elmedia Player machen kann

Wer hier sein Passwort eingegeben hat, erlaubte Proton die Installation.

Bild: Screenshot via ESET

In zwei beliebten Shareware-Apps wurde eine kurze Zeit lang eine Malware mitgeliefert. Mac & i zeigt, wie der Nutzer sie (hoffentlich) loswird.

Der macOS-Datenschädling Proton ist ein tückisches Stück Software: Die Malware kann höchst sensible Daten vom Rechner absaugen und sich zudem auch nachträglich verändern. Außerdem wird sie über sogenannte Supply-Chain-Angriffe verteilt: Den Erstellern ist es gleich mehrfach geglückt, Server von Anbietern bekannter Mac-Apps zu hacken, um den Trojaner darin zu verstecken. Das klappte beim beliebten Open-Source-Videoencoder Handbrake im Mai ebenso wie am 19. Oktober bei zwei Produkten des Shareware-Anbieters Eltima, dem Medienabspieler Elmedia Player und dem Downloadmanager Folx.

Wie man Proton erkennt

Wer sich Proton einmal eingefangen hat, wird die Malware nur noch mit Mühe los. Betroffene sollten zunächst überprüfen, ob der Schädling wirklich bei ihnen läuft. Bei Elmedia Player und Folx sollen nur Nutzer betroffen sein, die den Download an besagtem 19. Oktober vor 21.15 Uhr MEZ getätigt haben.

Ist die in der Eltima-Software steckende Variante von Proton auf der Maschine, ist dies daran erkennbar, dass ein Hintergrundprozess namens "updateragent" läuft. Dies lässt sich über die Aktivitätsanzeige überprüfen. Im System tief verankern konnte sich Proton zudem nur dann, wenn der Nutzer mithilft: Im Rahmen der Installation von Elmedia Player oder Folx wurden User zur Eingabe ihres Administrationspassworts (siehe Bild) aufgefordert.

Entfernung kann mühsam sein

Zur Proton-Entfernung sollte zunächst der Prozess "updateragent" beendet werden. Dies ist über die Aktivitätsanzeige (X-Knopf) möglich. Dann sollte man die Hauptanwendung von Elmedia Player beziehungsweise Folx löschen (im Anwendungsverzeichnis) sowie den von Proton installierten LaunchAgent, der dafür sorgt, dass der Schädling sich stets neu startet. Er liegt im Verzeichnis "Library" unter "LaunchAgents" und heißt "com.Eltima.UpdaterAgent.plist".

Anschließend muss verschiedene von Proton platzierte unsichtbare Dateien loswerden. Unter macOS Sierra und macOS High Sierra ist hierzu zunächst im Finder die Tastenkombination Apfel+Shift plus "." (Punkt) zu drücken. Bei älteren macOS-Versionen muss der Nutzer einen kurzen Ausflug ins Terminal unternehmen, um unsichtbare Dateien im Finder anzeigen und löschen zu können. Eine Anleitung dazu findet sich hier.

Die bislang bekannten versteckten Proton-Dateien beziehungsweise Verzeichnisse, die dringend gelöscht werden sollten, lauten:

Ist die Anzeige unsichtbarer Dateien aktiviert, lassen sie sich einfach auffinden und in den Papierkorb ziehen. Dieser wird dann geleert. Anschließend sollte der Rechner von Proton befreit sein.

Allerdings lässt sich dies nicht mit hundertprozentiger Sicherheit sagen. Der Grund: Proton ist als Trojaner von seinen Entwicklern fernsteuerbar – beziehungsweise war es, solange der dafür benötigte Command & Control-Server aktiv ist. So konnten auf dem infizierten Mac beliebige Dateien kopiert, gelöscht, angelegt oder hochgeladen, zudem der Rechner durchsucht sowie Dateien aus der Ferne ausgeführt werden. Auch ein direkter Zugang zur Maschine mittels SSH-Tunnel ist vorgesehen.

Malware-Entwickler könnten "nachgeladen" haben

Entsprechend besteht beziehungsweise bestand die Möglichkeit, dass die Proton-Macher noch weiteren bösen Code auf die betroffenen Maschinen einschleusen konnten. Das Sicherheitsunternehmen ESET, das Proton als erstes in den Eltima-Apps nachgewiesen hatte, empfiehlt denn auch, betroffene Rechner komplett neu aufzusetzen – und mit einem hoffentlich vorhandenen Back-up zu bespielen, das aus der Zeit vor der Infektion stammt. Sollte das Medium, auf dem es lagert, mit dem infizierten Rechner verbunden gewesen sein, könnte aber auch dieses kompromittiert worden sein – selbst wenn dies unwahrscheinlich ist. Gleiches gilt für angeschlossene iOS-Geräte oder andere im Netzwerk vorhandene Macs und/oder PCs. Auch hier wäre eine Kompromittierung denkbar, wenn auch unwahrscheinlich – zumindest gibt es keine entsprechenden Berichte.

Betroffene Nutzer sollten darüber hinaus dringend alle wichtigen Passwörter ändert – inklusive dem der Apple-ID. Proton saugt neben Kryptowährungs-Wallets auch noch die Schlüsselbunddatenbank (Keychain), GnuPG-Informationen, VPN- und SSH-Zugänge sowie die Datenbank des beliebten Passwortmanagers 1Password ab. Apple hat mittlerweile das Entwicklerzertifikat zurückgezogen, mit dem die jüngste Inkarnation von Proton auf dem Mac ausführbar wird. (bsc)

13 Kommentare

Themen:

Anzeige
  1. Mac-Shareware-Downloads mit signiertem Trojaner

    Mac-Shareware-Downloads mit signiertem Trojaner

    Die Apps Folx und Elmedia Player wurden nach einem Hack über deren Websites inklusive der "Proton"-Malware vertrieben. Der Hersteller empfiehlt eine Neuinstallation betroffener Maschinen.

  2. Mac-Version von Handbrake mit Malware verteilt

    Mac-Version von Handbrake mit Malware verteilt

    Einer der Mirror-Server des populären Open-Source-Videoencoders wurde gehackt. macOS-Nutzer sollten prüfen, ob sie sich einen Datenschädling eingefangen haben, der Passwörter entwendet.

  3. MacRansom und MacSpy: Mac-Malware kommt als Dienstleistung

    MacRansom und MacSpy: Mac-Malware kommt als Dienstleistung

    Unbekannte handeln mit zwei Malware-Tools, die auf macOS abzielen – darunter ein Erpressungstrojaner. Mac-Nutzer seien gewöhnlich gewillt, weiter über 1000 Dollar für die Entschlüsselung ihrer Dateien zu bezahlen, wirbt der Anbieter.

  4. Handbrake-Trojaner: Quellcode des Mac-Entwicklerstudios Panic entwendet

    Panic

    Die auf Mac-Nutzer abzielene Malware “Proton” hat ein erstes prominentes Opfer gefordert: Unbekannte klauten den Quelltext zu mehreren Apps des Entwicklerstudios Panic. Kundendaten sind nicht betroffen, betont das Unternehmen.

  1. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  2. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  3. Welche macOS-Version habe ich?

    Du möchtest wissen, welches Mac OS X auf deinem Rechner installiert ist? Wir erklären dir, wie du es ganz einfach herausfindest.

  1. Hessen baut Videoüberwachung aus

    Ãœberwachung, Kamera

    Videoüberwachung gilt bei Politikern und Polizei als wirksames Mittel gegen Verbrechen. Daher wächst die Zahl der Kameras in Hessen. Für Datenschützer wird oft zu leichtfertig darüber entschieden.

  2. Zweibeiniger Roboter Atlas schafft Salto rückwärts

    Mann schmeißt Atlas um

    Eine neue Version des aufrecht gehenden Roboters Atlas zeigt akrobatische Talente: Kisten sind kein Hindernis mehr, und sogar ein Salto aus dem Stand gelingt – meistens jedenfalls.

  3. Verhandlungen über Killerroboter in Genf

    Verhandlungen über Killerroboter in Genf

    Am Sitz der Vereinten Nationen in Genf wurde diese Woche ein Thema diskutiert, das sich für große Teile der Öffentlichkeit nach wie vor wie Science-Fiction anhört: tödliche autonome Waffensysteme oder Killerroboter.

  4. "Blaue Briefe" von der Landesmedienanstalt NRW

    "Blaue Briefe" von der Landesmedienanstalt NRW

    Auch Letsplay-Kanäle mit wenigen hundert Zuschauern geraten inzwischen ins Visier der Landesmedienanstalten. Von Annäherung zwischen Anbietern und Behörden oder gar der Abschaffung überholter Regelungen kann offenbar keine Rede sein.

Anzeige