L'éditeur Eltima prévient qu'à la suite d'un piratage de ses serveurs, des versions infectées par un malware de ses applications Elmedia Player (lecteur multimédia) et Folx (gestionnaire de téléchargement) pour Mac ont été distribuées.
Il s'agit de fichiers DMG téléchargés depuis le site officiel d'Eltima qui étaient infectés par le même type de malware que lors de la compromission de l'application HandBrake pour Mac début mai. Une nouvelle fois, une attaque a ainsi eu lieu au niveau de la chaîne d'approvisionnement.
Eltima assure que le mécanisme intégré de mise à jour automatique n'a pas été touché. Le ménage a été effectué après une alerte donné par l'éditeur de solutions de sécurité ESET. Tout téléchargement depuis le 19 octobre est sain. Les fichiers d'installation infectés n'auraient été disponibles que 24 heures avec un millier d'utilisateurs concernés.
ESET a identifié la menace en tant que OSX/Proton qui est un outil de prise de contrôle à distance d'un ordinateur. Une backdoor en somme. Les symptômes d'une infection sont la présence des fichiers et répertoires :
- /tmp/Updater.app/
- /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
- /Library/.rand/
- /Library/.rand/updateragent.app/
Évoquant une procédure standard pour tout système compromis avec un compte administrateur affecté, Eltima recommande le cas échéant une réinstallation complète de macOS pour se débarrasser du malware.
Les fichiers d'installation malveillants étaient signés avec un certificat non pas d'Eltima mais d'un développeur avec l'identifiant Clifton Grimm. Le mystère plane encore pour savoir si ce certificat électronique a été volé à un développeur ou obtenu d'Apple qui a fini par le révoquer suite à l'alerte.
Dans de moindres proportions eu égard au nombre d'utilisateurs concernés, cet incident de sécurité rappelle le cas de la version 5.33 compromise de CCleaner pour Windows (32 bits).
