Le spécialiste de la sécurité ESET a découvert que deux logiciels d’Eltima Software, Elmedia Player et Folx, ont été infectées par le virus OSX/Proton.
Il recommande à toute personne ayant récemment téléchargé l’un de ces deux logiciels de vérifier s’ils sont infectés, en testant la présence de l’un des dossiers ou fichiers suivants :
- /tmp/Updater.app/
- /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
- /Library/.rand/
- /Library/.rand/updateragent.app/
Si un ou plusieurs d’entre eux est présent, il est fort probable que l’ordinateur soit infecté.
Proton est un cheval de Troie à distance conçu spécifiquement pour Mac, ouvrant une porte dérobée avec accès administrateur à l’ordinateur ciblé. Toutes les informations, y compris les mots de passe, les clés et les monnaies chiffrées peuvent être dérobées. Même le compte iCloud peut être compromis.
En général, le virus est détecté par les logiciels antivirus. Toutefois, il est virulent et difficile à éliminer, comme tous les logiciels malveillants donnant un accès administrateur. La seule façon de s’assurer avec certitude d’avoir éliminé la menace est la réinstallation complète de macOS…
ESET a immédiatement prévenu Eltima Software, qui, quelques heures plus tard reconnaissait que ses serveurs avaient été piratés pour infecter les logiciels avec le virus. L’éditeur de logiciels a pris les mesures nécessaires pour neutraliser la menace, et publié un avertissement sur son site.