Trojan Proton: attacco ai Mac in corso per rubare le informazioni

I server di Eltima, sviluppatore di un software multimediale molto apprezzato dagli utenti MAC come Elmedia Player, sono stati violati. Gli attaccanti sono riusciti a sostituire l’installer originale con una versione che include il trojan Proton.
Trojan Proton: che cosa è?
Il trojan Proton è un malware appositamente pensato per i computer che eseguono sistemi operativi MAC: una volta installato consente agli attaccanti di rubare un gran numero di informazioni dal dispositivo bersaglio. Nel dettaglio Proton punta alle informazioni di sistema:
  • numeri di serie;
  • utente;
  • informazioni sul gateway;
  • informazioni sulle applicazioni installate.
Trasmette inoltre al proprio server di Command e Control eventuali informazioni su wallet Bitcoin come Bitcoin COe, Electrum, Armony, i dati della keychain del sistema, quelli di una eventuale configurazione VPN di Tunnelblick ecc..
Come rimuovere il trojan?
Pare che sia assolutamente difficile farlo, stando alle parole di vari ricercatori di sicurezza che ne hanno studiato il codice. Alcuni consigliano la reinstallazione del sistema da zero. 
Quanti utenti sono a rischio?
Eltima ha ricevuto comunicazione in data 19 Ottobre ed ha reagito prontamente: nel giro di una manciata di ore ha rimesso in sicurezza i propri server e sostituito l’installer compromesso con quello originale e sicuro. Non è però possibile sapere, almeno per ora, per quanto tempo sia sia rimasta in distribuzione la versione compromessa né quando sia avvenuta la violazione dei server, quindi è difficile dare una stima del numero di possibili vittime di Proton. Giova ribadire che il trojan era in distribuzione solo tramite l’installer compromesso, mentre gli aggiornamenti disponibili sul sito di Elmedia Player sono sempre stati sicuri. A rischio quindi sono solo gli utenti che hanno scaricato il programma, non coloro che hanno eseguito gli aggiornamenti. Lo scarso utilizzo di antivirus da parte di Utenti Mac però fa temere un numero di vittime piuttosto alto.
Come verificare la presenza di Proton sul sistema? 
Vi sono alcuni file che, se riscontrati sul sistema (anche uno solo), indicano la presenza del trojan Proton. Eccone un elenco:
  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/
Consigliamo a chi ha scaricato il programma nei giorni immediatamente precedenti al 19 Ottobre di avviare una scansione dell’antivirus e verificare la presenza dei file sopra indicati.