Nouveau cas d’infection par le malware Proton sur des applications Mac. Ici, l’éditeur Eltima révèle que ses serveurs ont été attaqués et que les hackers ont réussi à modifier ses applications Elmedia Player et Folx avec un certificat valide signé par Apple, ce qui a permis de passer les sécurités de macOS. Elmedia Player est un lecteur multimédia (à l’instar de VLC) et Folx est un gestionnaire de téléchargement.

L’antivirus ESET a été le premier à repérer la diffusion du malware Proton avec les deux applications. Un porte-parole d’Eltima a confirmé les faits à ZDNet en expliquant que les hackers ont pu profiter d’une faille au niveau d’une bibliothèque JavaScript sur les serveurs pour obtenir un accès et ajouter le malware dans Elmedia Player et Folx. Toute personne qui a téléchargé et installé les applications hier est infectée.

Que peut faire le malware Proton ? Il peut voler plusieurs données, comme les mots de passe, les informations des navigateurs Internet, les données du Mac, les configurations VPN, la liste des applications installées, les portes-feuilles de la crypto-monnaie et plus encore. Pour vérifier si vous êtes infectés, observez si les fichiers suivants existent sur votre Mac :

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

S’ils sont présents, votre Mac est infecté par le malware Proton. Comment s’en débarrasser ? Il faut malheureusement faire une restauration complète de macOS pour définitivement le retirer. De son côté, Apple a bloqué la signature du certificat utilisé par les hackers pour que les nouvelles installations sont automatiquement bloquées.