Mã độc Proton nhắm tới các thiết bị Mac

Ginny Hà

VIP Members
04/06/2014
88
689 bài viết
Mã độc Proton nhắm tới các thiết bị Mac
Tin xấu cho người dùng Mac: Mã độc mới có tên Proton đang phát tán thông qua các ứng dụng Elmedia phổ biến. Người dùng có thể phải cài đặt lại hệ điều hành để đảm bảo an toàn.

Kẻ xấu chèn mã độc vào ứng dụng phổ biến Elmedia Player và quản lý download Folx (do Elmedia Player phát triển) để phát tán. Các phiên bản mới nhất của cả hai ứng dụng này đều chứa OSX.Proton.

proton.jpg

Proton được biết đến lần đầu vào năm ngoái, là công cụ truy cập từ xa (RAT) và hiện đang được rao bán trên một số diễn đàn. Mã độc có nhiều tính năng như thực thi lệnh điều khiển, truy cập webcam của người dùng, ghi lại thao tác bàn phím, chụp ảnh màn hình và mở các kết nối từ xa SSH/VNC. Proton cũng có thể chèn code độc hại vào trình duyệt người dùng để hiển thị quảng cáo, yêu cầu cung cấp thông tin như số thẻ tín dụng, thông tin đăng nhập...

Mã độc có thể xâm nhập vào tài khoản iCloud của nạn nhân, ngay cả khi sử dụng xác thực hai bước. Proton được chào bán với giá 50.000 USD hồi tháng 3/2017.

Các chuyên gia ESET phát hiện mã độc đang lây lan thông qua việc chèn mã độc vào các bộ tải ứng dụng.

Theo thông tin từ ESET: “Trong vài giờ gần đây, chúng tôi phát hiện các ứng dụng mà Elmedia Player phân phối trên trang chính thức của hãng có chứa mã độc OSX/Proton. ESET đã liên hệ với Eltima ngay khi có thông tin và Eltima đã phản hồi rất nhanh và phối hợp với ESET để xử lý vấn đề”.

Tin tặc đã xâm nhập các máy chủ của nhà phát triển và chèn mã độc Proton vào bộ tải ứng dụng.

Để kiểm tra cài đặt, người dùng hãy quét tìm tệp và thư mục sau:

- /tmp/Updater.app/
- /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
- /Library/.rand/
- /Library/.rand/updateragent.app/

Theo khuyến cáo của Eltima: “Nếu có bất kỳ tệp nào trong danh sách trên thì người dùng có thể đã bị nhiễm mã độc. Điều này có nghĩa rất có thể mã độc OSX/Proton đang chạy trên hệ thống của bạn. Nếu đã tải và chạy Elmedia Player hoặc Folx vào ngày 19/10/2017, hệ thống của bạn có thể đã bị ảnh hưởng bởi mã độc”.

Ngay cả khi phần mềm diệt virus trên máy tính của bạn nhận diện được mã độc Proton thì cũng rất khó loại bỏ nó ra khỏi hệ thống.

Cách chắc chắn nhất để loại bỏ hoàn toàn mã độc là cài đặt lại hệ điều hành. Người dùng bị ảnh hưởng cũng nên tính tới trường hợp các thông tin bí mật của mình đã bị xâm nhập để có biện pháp thích hợp đối với các dữ liệu đó”, các chuyên gia ESET cho biết.

Theo SecurityAffairs
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên