Vorübergehend Malware mitgeliefert
Mac-Apps Elmedia Player und Folx: Downloads hatten Trojaner im Gepäck
Der Softwareanbieter Eltima hat beim Download der Mac-Programme Elmedia Player und Folx für begrenzte Zeit eine Malware mitgeliefert. Der Fehler ist dem Anbieter zufolge behoben, sofern eine der beiden Apps kürzlich geladen wurde, besteht dennoch Handlungsbedarf.
Bild: Eset
Der Elmedia Player gehört zu den bekannteren Programmen für die Medienwiedergabe auf dem Mac, bei Folx handelt es sich um einen Download-Manager. Die über die Server von Elmedia angebotenen Installationsdateien beider Programme wurden Ende letzter Woche von Hackern manipuliert und mit dem Mac-Trojaner OSX/Proton infiziert. Das Sicherheitsunternehmen ESET wurde auf diesen Vorgang aufmerksam und informierte den Anbieter der Programme. Infolge wurde entdeckt, dass Hacker sich Zugang zu den Eltima-Servern verschafft hatten.
Wie Eltima mitteilt, wurde das Problem behoben und die Programme könnte nun wieder ohne jedes Risiko geladen werden. Nutzer, die eines der beiden Programme im Laufe der letzten Woche installiert haben, sollten allerdings mithilfe der folgenden Prozedur sicherstellen, dass die Malware bei ihnen nicht installiert wurde. Wer die Apps am 19. Oktober geladen hat, kann sich sogar ziemlich sicher sein, dass sein System infiziert ist.
Überprüft mithilfe der Finder-Funktion „Gehe zu -> Gehe zum Ordner“ ob eine der folgenden Dateien bzw. Verzeichnisse vorhanden ist:
- /tmp/Updater.app/
- /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
- /Library/.rand/
- /Library/.rand/updateragent.app/
Weitere Informationen zur Auswirkung eines Befalls mit dem Mac-Trojaner listet das ESET-Blog. Dort findet sich auch der ernüchternde Hinweis, das im Falle einer Infektion eine komplette Neuinstallation von macOS der einzig verlässliche Weg ist, sich von dem Schädling zu befreien. Besonders brisant ist die Angelegenheit, da die Malware es auf sehr sensible Daten abgesehen hat, darunter die Wallets von Kryptowährungen, 1Password-Informationen oder VPN und SSH-Konfigurationen.
Bin noch nicht so langer im Mac-Lager unterwegs. Kommt mir es nur so vor oder passiert so etwas bei Macs weitaus häufiger als bei Windows?
Ja, das kommt definitiv nur dir so vor! Beim Mac passiert das alle par Monate, bei Windows ist es Alltag, darum wird darüber garnicht berichtet.
Bei Windows passiert sowas alleine deshalb häufiger, weil die Anzahl an Viren um ein 10000faches größer ist.
Ich erinnere dich an den Malewarefall dieses Jahr alsb100000 Windows Rechner lahm gelegt wurden
Nicht wirklich. Wenn du dieses Empfinden hast, dann warst du in deiner Windows Zeit nicht informiert genug ;-)
Aber ja, die Geschichte mit untergejubelten Updates war dieses Jahr etwas zu häufig in den Schlagzeilen. Dies ist aber nicht ein “Apple” Problem, sondern ein Softwareanbieter Problem. Wenn der User sein admin Password eingibt, ohne das PKG zu inspizieren (z.B. mit Suspicious Package), der sollte auch nicht mit Admin Rechten herum experimentieren. Bei Admins geht kein PKG über die Kiste drüber, ohne zuvor nicht untersucht worden zu sein.
Hallo asdf,
Und was machst Du genau mit dem Package? Woran siehst Du dass es gehackt wurde? Stimmt dann die Checksum nicht? War das in dem Fall auch so? Oder hat die Firma das eben gar nicht bemerkt und die Checksum stimmte?
Kann gut sein, Du hättest es auch nicht bemerkt. Würde aber gerne Deinem Beispiel folgen und auch so professionell sein.
Nach 35 Jahren IT Projekt- und Support-Erfahrung lerne ich immer noch gerne was dazu.
Kommt Dir nur so vor.
Auch wenn es den Anschein hat, dass man sich der Windows Welt in Sachen Malware bedrohung langsam nähert.
Hier wurde die Malware in ein Programm eingeschleust und über die Herstellerwebseite verbreitet. Das hat wenig mit Mac oder Windows zu tun.
Hallo Jörg, nein, eigentlich ist es genau umgekehrt, zu Windows gehört definitiv immer der Virenscanner.
Aber trotzdem kann es nicht sein, dass solche Apps verteilt werden, hier gab es in letzter Zeit schon ein paar Vorgänge.
Hoffentlich nähert sich mac os nicht weiter an Windows an :(
Das es gefühlt häufiger vorkommt, liegt daran, dass auf dem Mac noch über jeden Virenfund berichtet wird. Außerdem kommt es Bei Mac Systemen eher vor, dass sich Schadsoftware, in anderer Software versteckt, weil dies unter Mac Systemen der einzig praktikable weg ist Schadsoftware auf das System zu bringen. Windows strotzt hingegen nur so vor Sicherheitslücken, da das System der Rechteverwaltung ein ganz anderes ist. dementsprechend werden Sicherheitslücken für Mac und iOS gerate auch weitaus teurer gehandelt, als solche, die vergleichbaren schaden auf Windows Geräten anrichten können.
Danke für Eure Ausführungen. Unter Windows bin ich durch 25 Jahren Erfahrung sehr fit. Mac ist bei mir im „Aufbau“.
OSX ist mittlerweile genauso „unsicher“ wie Windows, das wollen die OSX-Jünger nicht hören, ist aber so.
Das liegt auch daran das OSX nicht (mehr) sicherer ist als Windows.
Außerdem haben die meisten OSX-Nutzer keinen „Schutz“ am laufen und vertrauen immernoch darauf das Apple schon sicher ist… ein Trugschluss wie jeder weiß der Ahnung hat…
/Library/.rand/updateragent.app/
Den Ordner habe ich und die ander 3 aber nicht
Was soll ich jetzt dort sehen?
Die Updater.agent.app???
1. Computer vom Internet nehmen, damit keine Daten mehr gesaugt werden
2. dann am besten den Blogeintrag lesen -> da steht System muss zur Entfernung neu installiert werden etc.
Lies doch mal das ESET-Blog.
Du mußt da nichts sehen.
Ist einer der Ordner da, wurde die Malware ausgeführt und hat das System verwanzt.
Viel Spaß bei der Neuinstallation.
@ Pete – Du bist ja richtig nett. Ich hoffe, daß Du solch einen Spruch auch so lustig findest wenn ihn DIR jemand ‚reindrückt wenn Du den Schaden hast.
Pete hat recht und es einfach nur unmissverständlich ausgedrückt. Ich finde das jetzt nicht problematisch.
Btw. Mich hat es auch erwischt… nach dem Osx reinstall stellt gerade die TM wieder her…
Glücklicherweise benutze ich diese Software nicht aber dieser Hersteller wäre für mich ab jetzt als kompromittiert anzusehen und hätte kein Vertrauen mehr verdient. Wer garantiert das alle Hintertüren in deren System geschlossen wurden? Auch hier hätte eine AV Software auf dem Rechner wieder nicht geholfen.
darum läd man ja im apple appstore
/Library/
/Library/.rand/
/Library/.rand/updateragent.app/
Egal was ich hier mach komme ich immer zum Ordner Library also immer zum gleich Ziel
Wenn ich nach updateragent suche findet der nichts.
Den Elmedia Player habe ich in 2011 gekauft
Wichtig ist nur wann du die Software geladen hast. Hast du in den letzten Wochen die Software nicht von der Herstellerseite geladen dann bist du sicher.
@ifun: Heißt das, die Elmedia-Version aus dem Mac App Store war sauber?
Lasst mich nicht dumm sterben aber warum benutzt man so ne software wenn es VLC gibt ?
Findet ein Virenscanner die Schadsoftware? Ich lade viel aus dem AppStore, das eine oder andere eben nicht. Bundles sind mitunter deutlich billiger, wenn man nicht über den Store geht. Außerdem wäre ich mir nicht so sicher, da nur cleane Apps zu bekommen.
Bitdefender hat den gefunden.
War auch unter den News zu lesen.
Ich persönlich war nicht betroffen.