Malware OSX, Proton di Eltima

Pengembang malware semakin pintar mencari jalan agar bisa tetap eksis bertahan dan mencari keuntungan, salah satunya dengan memanfaatkan software yang sah dengan menyisipkan malware berbahay di dalamnya. Kejadian semacam ini baru saja ESEt temui saat mendeteksi kehadiran malware OSX.

Peneliti ESET belakangan memang sedang mengamati Eltima, perusahaan yang membuat perangkat lunak Elmedia Player, dari hasil pengamatan diketahui bahwa mereka telah mendistribusikan versi aplikasi yang telah dibubuhi trojan malware OSX/Proton di situs resmi mereka. Untuk mencegah penyebaran masif malware, ESET mengambil tindakan dengan menghubungi pihak Eltima yang secara responsif menindaklanjuti laporan tersebut.

ESET menyarankan siapa saja yang mengunduh perangkat lunak Elmedia Player baru-baru ini untuk memverifikasi apakah sistem mereka dikompromikan atau tidak dengan menguji adanya file atau direktori berikut ini:

• /tmp/Updater.app/

• /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

• /Library/.rand/

• /Library/.rand/updateragent.app/

Jika salah satu dari file atau direktori di atas ada dalam perangkat, maka itu berarti aplikasi Elmedia Player yang sudah ditrojanisasi oleh malware OSX/Proton kemungkinan besar sudah berjalan dalam perangkat tersebut.

Jika Anda telah mengunduh perangkat lunak itu pada tanggal 19 Oktober sebelum pukul 15:15 EDT dan menjalankannya, kemungkinan perangkat tersebut telah dikompromikan atau dikuasai oleh malware.

Sejauh yang ESET tahu, hanya versi yang diunduh dari situs web Eltima yang berisi aplikasi trojan. Semenatara mekanisme update otomatis built-in tampaknya tidak terpengaruh oleh malware ini.

Curian Proton

OSX/Proton adalah backdoor dengan kemampuan mencuri data yang luas. Kelebihannya ini didapat karena keahliannya bertahan dalam sistem meskipun di-boot berkali-kali, sehingga ia dapat mencuri beberapa hal berikut ini:

1. Rincian sistem operasi: nomor seri perangkat keras (IOPlatformSerialNumber), nama lengkap dari pengguna saat ini, nama host, System Integrity Protection status (status csrutil), informasi gateway (rute -n mendapatkan default | awk ‘/gateway/ {print $ 2}’), waktu sekarang & zona waktu

2. Informasi browser dari Chrome, Safari, Opera dan Firefox: riwayat, cookies, bookmark, data masuk, dll.

3. Dompet Cryptocurrency:

• Electrum: ~/.electrum/wallets

• Bitcoin Core: ~/Library/Application Support/Bitcoin/wallet.dat

• Armory: ~/Library/Application Support/Armory

4. Data pribadi SSH (seluruh konten .ssh)

5. Data keychain macos menggunakan versi modifikasi dari chainbreaker

6. Konfigurasi VPN terowongan (~ / Library/Application Support/Tunnelblick/Configurations)

7. GnuPG data (~/.gnupg)

8. 1Password data (~/Library/Application Support/1Password 4 and ~/Library/Application Support/1Password 3.9)

Membersihkan Sistem

Seperti halnya kompromi dengan akun administrator, instal ulang OS lengkap adalah satu-satunya cara pasti untuk menyingkirkan malware tersebut. Korban juga harus menganggap setidaknya semua rahasia yang diuraikan di bagian sebelumnya dikompromikan dan mengambil tindakan yang tepat untuk membatalkannya.

Dengan dikompromikannya perangkat beserta akun admin, instal ulang OS sepenuhnya adalah satu-satunya cara pasti untuk menyingkirkan malware tersebut. Korban juga harus menganggap setidak semua rahasia yang diuraikan di bagian sebelumnya telah dikompromikan dan mengambil tindakan yang tepat untuk membatalkannya.

Pengembang Malware Incar Mac

Tahun lalu, Mac Bittorrent Client Transmission dua kali disalahgunakan untuk menyebarkan malware, pertama rombongan OSX/KeRanger diikuti oleh pencuri password OSX/Keydnap. Kemudian tahun ini, aplikasi video-transcoder Handbrake ditemukan dibundel dengan OSX/Proton.

Saat ini, ESET menemukan perangkat lunak Mac populer lainnya yang digunakan untuk menyebarkan OSX/Proton: Elmedia Player, media player yang mencapai rekor 1 000 000 pengguna pada musim panas ini.

Info dan pembelian www.tokoeset.com email: eset.sales@eset.co.id

Sumber berita:

www.welivesecurity.com