Elmedia Player et Folx pour Mac : des copies infectées ont été distribuées

Le par  |  0 commentaire(s)
porte

Nouvelle compromission dans la chaîne d'approvisionnement pour permettre la diffusion d'applications infectées. En l'occurrence, des applications pour Mac.

L'éditeur Eltima prévient qu'à la suite d'un piratage de ses serveurs, des versions infectées par un malware de ses applications Elmedia Player (lecteur multimédia) et Folx (gestionnaire de téléchargement) pour Mac ont été distribuées.

Il s'agit de fichiers DMG téléchargés depuis le site officiel d'Eltima qui étaient infectés par le même type de malware que lors de la compromission de l'application HandBrake pour Mac début mai. Une nouvelle fois, une attaque a ainsi eu lieu au niveau de la chaîne d'approvisionnement.

Eltima assure que le mécanisme intégré de mise à jour automatique n'a pas été touché. Le ménage a été effectué après une alerte donné par l'éditeur de solutions de sécurité ESET. Tout téléchargement depuis le 19 octobre est sain. Les fichiers d'installation infectés n'auraient été disponibles que 24 heures avec un millier d'utilisateurs concernés.

Elmedia-Player

ESET a identifié la menace en tant que OSX/Proton qui est un outil de prise de contrôle à distance d'un ordinateur. Une backdoor en somme. Les symptômes d'une infection sont la présence des fichiers et répertoires :

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

Évoquant une procédure standard pour tout système compromis avec un compte administrateur affecté, Eltima recommande le cas échéant une réinstallation complète de macOS pour se débarrasser du malware.

Les fichiers d'installation malveillants étaient signés avec un certificat non pas d'Eltima mais d'un développeur avec l'identifiant Clifton Grimm. Le mystère plane encore pour savoir si ce certificat électronique a été volé à un développeur ou obtenu d'Apple qui a fini par le révoquer suite à l'alerte.

Dans de moindres proportions eu égard au nombre d'utilisateurs concernés, cet incident de sécurité rappelle le cas de la version 5.33 compromise de CCleaner pour Windows (32 bits).

Complément d'information
  • 0day pour la sortie de macOS Mojave... Patrick Wardle récidive
    Comme du temps de macOS High Sierra, il souligne la sortie de macOS Mojave à sa manière avec l'annonce d'une vulnérabilité 0day pour contourner les contrôles d'accès à des données personnelles.
  • macOS 10.14 Mojave est disponible
    Comme prévu et annoncé lors de sa conférence de rentrée en début de mois, Apple livre la version finale de la nouvelle itération de son système d'exploitation pour ordinateur Mac.

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme