Proton Eltima: se avete installato una di queste app, il vostro Mac è infetto

Aggiornamento delle 16.55
Ci scrivono da Eltima: “Il nostro team di cyber-sicurezza in stretta collaborazione col Team ESET e rappresentanti Apple hanno adottato tutte le misure e contromisure necessarie per bloccare con successo la diffusione di questo malware.” Il che, tuttavia, non risolve il nodo gordiano: se avete scaricato l’app in questi ultimi giorni dalle 14.00 alle 21.15 del 19 ottobre, il Mac è stato compromesso; dovrete reinstallare macOS e prendere “misure appropriate” per rimettere in sicurezza le decine (centinaia?) di credenziali registrate nel Portachiavi.

La buona notizia, se non altro, è che non è stata pregiudicata la sicurezza degli aggiornamenti automatici effettuati attraverso l’app; ciò per lo meno circoscrive la probabilità di contagio. Dunque, restano esposti solo coloro i quali hanno scaricato nei giorni scorsi Mac Elmedia Player o Folx dal sito ufficiale.

I Fatti

È successo ancora. Se di recente avete scaricato su Mac Elmedia Player o Folx dai server di Eltima Software, il vostro Mac è probabilmente infetto dal malefico Proton. È la terza volta in meno di un anno.

[related layout=”big” permalink=”https://www.melablog.it/post/203096/krack-la-falla-wifi-che-colpisce-smartphone-e-router-ma-non-mac-e-iphone”][/related]

Non se ne può davvero più, e ve lo diciamo subito: iniziate a prendere seriamente in considerazione l’ipotesi di scaricare software solo e sempre dal Mac App Store. Ci saranno delle limitazioni, ma almeno si vive sereni.

Prima è accaduto con Handbrake, poi con Transmission, due app parecchio popolari e gratuite. Adesso è toccato a Folx e Elmedia Player, due note applicazioni create da Eltima Software.

Le versioni ospitate sui server ufficiali, infatti, sono state sostituite in un qualche momento prima del 19 ottobre scorso con build infettate dalla backdoor Proton: se l’avete scaricata, chiunque può aver avuto accesso ai vostri dati di navigazione, alle password e username del Portachiavi, e alle vostre comunicazioni private. Praticamente, tutta la vostra vita digitale è a rischio.

Per verificare l’infezione occorre controllare di avere uno di questi file o cartelle nel sistema:

• – /tmp/Updater.app/
• – /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
• – /Library/.rand/
• – /Library/.rand/updateragent.app/

In caso di dubbi, potrebbe essere una buona idea lanciare una scansione a tappeto sul sistema, con utility tipo Avast Antivirus (dopo l’installazione su macOS High Sierra, ricordate di abilitarne le Estensioni di Sistema come indicato in questo documento di supporto).

E ora veniamo alle notizie horror: se siete infettati, non c’è soluzione. Dovete modificare tutte le vostre password, e reinstallare il sistema operativo da zero. In bocca al lupo.