/ Security / Proton: Was sich gegen den macOS-Trojaner im Elmedia Player tun lässt

Proton: Was sich gegen den macOS-Trojaner im Elmedia Player tun lässt

Moritz Rosenfeld on October 29, 2017 - 3:24 pm in Security

In zwei beliebten Shareware-Apps wurde eine kurze Zeit lang eine Malware mitgeliefert. Mac & i zeigt, wie der Nutzer sie (hoffentlich) loswird.

Der macOS-Datenschädling Proton ist ein tückisches Stück Software: Die Malware kann höchst sensible Daten vom Rechner absaugen und sich zudem auch nachträglich verändern. Außerdem wird sie über sogenannte Supply-Chain-Angriffe verteilt: Den Erstellern ist es gleich mehrfach geglückt, Server von Anbietern bekannter Mac-Apps zu hacken, um den Trojaner darin zu verstecken. Das klappte beim beliebten Open-Source-Videoencoder Handbrake im Mai ebenso wie am 19. Oktober bei zwei Produkten des Shareware-Anbieters Eltima, dem Medienabspieler Elmedia Player und dem Downloadmanager Folx.

Wie man Proton erkennt

Wer sich Proton einmal eingefangen hat, wird die Malware nur noch mit Mühe los. Betroffene sollten zunächst überprüfen, ob der Schädling wirklich bei ihnen läuft. Bei Elmedia Player und Folx sollen nur Nutzer betroffen sein, die den Download an besagtem 19. Oktober vor 21.15 Uhr MEZ getätigt haben.

Ist die in der Eltima-Software steckende Variante von Proton auf der Maschine, ist dies daran erkennbar, dass ein Hintergrundprozess namens “updateragent” läuft. Dies lässt sich über die Aktivitätsanzeige überprüfen. Im System tief verankern konnte sich Proton zudem nur dann, wenn der Nutzer mithilft: Im Rahmen der Installation von Elmedia Player oder Folx wurden User zur Eingabe ihres Administrationspassworts (siehe Bild) aufgefordert.

Entfernung kann mühsam sein

Zur Proton-Entfernung sollte zunächst der Prozess “updateragent” beendet werden. Dies ist über die Aktivitätsanzeige (X-Knopf) möglich. Dann sollte man die Hauptanwendung von Elmedia Player beziehungsweise Folx löschen (im Anwendungsverzeichnis) sowie den von Proton installierten LaunchAgent, der dafür sorgt, dass der Schädling sich stets neu startet. Er liegt im Verzeichnis “Library” unter “LaunchAgents” und heißt “com.Eltima.UpdaterAgent.plist”.

Anschließend muss verschiedene von Proton platzierte unsichtbare Dateien loswerden. Unter macOS Sierra und macOS High Sierra ist hierzu zunächst im Finder die Tastenkombination Apfel+Shift plus “.” (Punkt) zu drücken. Bei älteren macOS-Versionen muss der Nutzer einen kurzen Ausflug ins Terminal unternehmen, um unsichtbare Dateien im Finder anzeigen und löschen zu können. Eine Anleitung dazu findet sich hier.

Die bislang bekannten versteckten Proton-Dateien beziehungsweise Verzeichnisse, die dringend gelöscht werden sollten, lauten:

  • /tmp/Updater.app/
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

Ist die Anzeige unsichtbarer Dateien aktiviert, lassen sie sich einfach auffinden und in den Papierkorb ziehen. Dieser wird dann geleert. Anschließend sollte der Rechner von Proton befreit sein.

Allerdings lässt sich dies nicht mit hundertprozentiger Sicherheit sagen. Der Grund: Proton ist als Trojaner von seinen Entwicklern fernsteuerbar – beziehungsweise war es, solange der dafür benötigte Command & Control-Server aktiv ist. So konnten auf dem infizierten Mac beliebige Dateien kopiert, gelöscht, angelegt oder hochgeladen, zudem der Rechner durchsucht sowie Dateien aus der Ferne ausgeführt werden. Auch ein direkter Zugang zur Maschine mittels SSH-Tunnel ist vorgesehen.

Malware-Entwickler könnten “nachgeladen” haben

Entsprechend besteht beziehungsweise bestand die Möglichkeit, dass die Proton-Macher noch weiteren bösen Code auf die betroffenen Maschinen einschleusen konnten. Das Sicherheitsunternehmen ESET, das Proton als erstes in den Eltima-Apps nachgewiesen hatte, empfiehlt denn auch, betroffene Rechner komplett neu aufzusetzen – und mit einem hoffentlich vorhandenen Back-up zu bespielen, das aus der Zeit vor der Infektion stammt. Sollte das Medium, auf dem es lagert, mit dem infizierten Rechner verbunden gewesen sein, könnte aber auch dieses kompromittiert worden sein – selbst wenn dies unwahrscheinlich ist. Gleiches gilt für angeschlossene iOS-Geräte oder andere im Netzwerk vorhandene Macs und/oder PCs. Auch hier wäre eine Kompromittierung denkbar, wenn auch unwahrscheinlich – zumindest gibt es keine entsprechenden Berichte.

Betroffene Nutzer sollten darüber hinaus dringend alle wichtigen Passwörter ändert – inklusive dem der Apple-ID. Proton saugt neben Kryptowährungs-Wallets auch noch die Schlüsselbunddatenbank (Keychain), GnuPG-Informationen, VPN- und SSH-Zugänge sowie die Datenbank des beliebten Passwortmanagers 1Password ab. Apple hat mittlerweile das Entwicklerzertifikat zurückgezogen, mit dem die jüngste Inkarnation von Proton auf dem Mac ausführbar wird. (bsc)

Read more on: Source

Comments are disabled