Mac惡意軟體OSX.Proton強勢迴歸，這次他們的襲擊目標是Eliteima官網上釋出的Elmedia Player應用程式副本。到目前為止，沒有人知道這個APP是什麼時候受到感染的。

事件原委

Proton早在今年3月份就悄悄潛入Apple XProtect中，但當時知道的人不多，大家也沒在意。5月份，噩夢來臨。主要負責釋出十分受歡迎的Handbrake軟體的其中一臺伺服器遭到攻擊，一個受Proton感染的Handbrake連續蔓延4天。

時至今日，Eltima軟體公司再次遭到了類似的攻擊。

上週四上午，ESET的研究人員發現了Elmedia Player中的木馬，當天下午Eltima Software的工作人員即作出木馬刪除的響應。但是，已經有一定未知數量的使用者下載了這個惡意程式，受到了Proton的感染。

受感染的Elmedia Player應用程式看起來和真實的沒什麼不同。因為這個木馬程式實際上是一隻披著羊皮的狼，用正常的惡意程式作外殼，讓使用者信服。下面的截圖左側是“乾淨”的Elmedia Player，右側則是喬裝的惡意程式。

這一點與之前Handbrake感染事件所用的技術存在差異。Handbrake事件中，由於該軟體是開源的，所以黑客實際上能夠編譯一個Handbrake的惡意副本，攜帶Proton惡意程式，但其它方面表現均無異樣。

但在這個案例中，Elmedia Player並非開源，因此黑客們轉變策略，打開了真實程式一個未經修改的副本。為了避免Dock（Mac工作列）上同時出現兩個Elmedia Player的APP，該惡意程式在其Info.plist檔案中進行了如下設定：

<key>LSUIElement</key><true/>

這就把該惡意程式變成了一個後臺程序，實現了表面的隱身，能夠暫時避免引起受害者的懷疑。

這次攻擊事件中的惡意程式與真實程式唯一的不同點是啟動程式時的密碼請求。見下圖。

惡意程式研究員@noarfromspace發現Eltima Software的Folx程式也受到了感染。因為之前Eltima Software已經作了系統清理，所以無法追蹤還有哪些惡意程式也慘遭毒手。

被惡意修改的Eltima程式使用的是“Clifton Grimm”蘋果開發人員證書進行的簽名。目前該證書已被撤銷，這些惡意程式也就無法使用了。

惡意行為

和Handbrake被黑副本留下來的變體Porton.B一樣，這個新的變體（Porton.C）也嘗試獲取含使用者密碼及其它敏感資訊的鑰匙串（蘋果公司Mac OS中的密碼管理系統）和1Password（蘋果裝置管理網站登入賬戶等敏感資訊的應用），以及含登入憑據的瀏覽器資訊（依賴瀏覽器記住登入密碼的親們要著實小心）。

相比之下，Proton.C還會收集其它資料。它能夠滲透多種加密貨幣錢包，從中竊取使用者的數字貨幣。另外還能抓取使用者訪問某些線上敏感資源的資訊。

作為感染過程的一部分，Proton.C還會在sudoers檔案中新增一行，獲取全部的root訪問許可權：

Defaults !tty_tickets

通常情況下，如果使用者獲得了終端root許可權，該許可權只在單個終端視窗中生效，不會影響其它終端系統。但是如果在sudoers檔案末尾添加了上面這個命令列，惡意程式只需進行一次認證，root許可權就能在所有終端上生效。

我被感染了嗎？

我們到現在還不知道Eltima Software系統是什麼時候被入侵的。但如果你最近從Eltima Software下載了軟體，就要檢查一下自己的系統了。本文釋出者Malwarebytes LABS有一款能夠免費檢測並刪除Proton.C的產品：Malwarebytes for Mac。

雖說免費，但如果不想以後被強制消費，我們還有一種辦法。

在Finder中的“Go（轉到）”選單選擇“Go to Folder（轉到資料夾）”然後輸入以下路徑：

/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

點選Go按鈕。如果Finder顯示“The folder can’t be found（找不到資料夾）”，這就說明你沒有受到該惡意程式的感染，當然這個結論基於你完全沒有輸錯的情況下。這個方法還是會有人為錯誤的風險存在。

如果你被感染了，首要動作當然是刪除系統中Eltima Software的程式。即使裝在你電腦上的反病毒軟體沒有檢測出來，你也應該自己清理乾淨，以防萬一。

我該怎麼辦？

發現自己被感染後，第一件事當然是清理系統。

完成後，你就要開啟資訊洩露風險修復的漫漫長路了。我們需要修改所有賬戶的密碼。1Password這樣的密碼管理器能夠很大程度地減輕工作量。另外，千萬不要在macOS的鑰匙串中儲存密碼管理器的密碼！這個主密碼的淪陷會讓所有的努力功虧一簣。

如果你有電子錢包，馬上凍結！如果你的信用卡或其它銀行賬戶資訊儲存在鑰匙串或1Password中，立即聯絡銀行，凍結賬戶，進行賬戶流水的監控或密碼更改。

如果該惡意軟體感染了涉及公司業務的裝置，一定要及時通知IT管理人員。黑客會通過這個程式獲取部分或全部公司內部的資源，不但會導致該公司關鍵資訊的洩露，如果剛好是一家做軟體的企業，還有可能產生新的變體，隨著新軟體或新版本的釋出，殃及更多無辜群眾。