OSX/Proton volta a se propagar em um aplicativo trojanizado para macOS

OSX/Proton volta a se propagar em um aplicativo trojanizado para macOS

A versão trojanizada do reprodutor multimídia Elmedia Player esteve disponível no site oficial. Ao baixá-lo, o OSX/Proton obtinha os privilégios de root.

A versão trojanizada do reprodutor multimídia Elmedia Player esteve disponível no site oficial. Ao baixá-lo, o OSX/Proton obtinha os privilégios de root.

Na semana passada, pesquisadores da ESET notaram que Eltima, fabricante do reprodutor Emedia Player, estava distribuindo uma versão de aplicativo que estava trojanizado com o malware OSX/Proton, disponível para ser baixado através do site oficial.

A ESET imediatamente entrou em contato com a empresa Eltima, que foi bastante receptiva e manteve uma excelente comunicação durante toda a pesquisa sobre o incidente.

Esta é a linha do tempo sobre o ocorrido:

19/10/2017: Confirmação de um pacote trojanizado

19/10/2017, 11:35 GMT-3: A empresa Eltima é informada sobre o caso por email

19/10/2017, 15:25 GMT-3: Eltima reconhece o problema e inicia ações para resolver a situação

19/10/2017, 16:10 GMT-3: Eltima confirma que excluiu a ameaça de sua infraestrutura e que já está oferecendo o aplicativo legítimo novamente

Observação: Ainda estamos pesquisando, por isso estas informações são preliminares e iremos atualizar este post após as novas descobertas.

Como posso saber se fui afetado?

Todas as pessoas que baixaram o software Elmedia Player recentemente devem verificar se o sistema está comprometido, buscando rastros de qualquer um destes arquivos ou unidades:

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

Se algum deles estiver presente no equipamento, significa que a versão trojanizada do Elmedia Player foi executada e que o OSX/Proton provavelmente está ativo.

Se você baixou este software no último dia 19 de outubro antes das 16h15 (GMT-3) e o executou, provavelmente esteja infectado. No entanto, até onde sabemos, apenas a versão baixada do site oficial contém o aplicativo alterado – o mecanismo de atualização integrado não parece ter sido afetado.

O que esta ameaça faz no sistema comprometido?

O OSX/Proton é um backdoor com amplas capacidades de roubo de dados. Por isso, além de obter persistência no sistema, também consegue roubar:

  • Detalhes do sistema operacional: número de série do hardware (IOPlatformSerialNumber), nome completo do usuário atual, nome do host, estado da funcionalidade System Integrity Protection (csrutil status), informação do gateway (route -n get default | awk ‘/gateway/ { print $2 }’), hora e fuso horário atual.
  • Informações do navegador obtidas por meio do Chrome, Safari, Opera e Firefox: histórico, cookies, marcadores, credenciais, etc.
  • Carteiras de criptomoedas:
    • Electrum: ~/.electrum/wallets
    • Bitcoin Core: ~/Library/Application Support/Bitcoin/wallet.dat
    • Armory: ~/Library/Application Support/Armory
  • Informações privadas do SSH (todo o conteúdo .ssh)
  • Informações do keychain do macOS usando uma versão modificada do chainbreaker
  • Configuração da VPN Tunnelblick (~/Library/Application Support/Tunnelblick/Configurations)
  • Informações do GnuPG (~/.gnupg)
  • Informações do 1Password (~/Library/Application Support/1Password 4 y ~/Library/Application Support/1Password 3.9)
  • Lista de todos os aplicativos instalados

Como posso limpar o meu sistema?

Como acontece sempre que a infecção ocorre em uma conta de administrador, uma reinstalação completa do sistema operacional é a única forma de se livrar deste malware. Quem se depara com a infecção deve reconhecer que toda a informação listada na seção anterior foi comprometida e está nas mãos do cibercriminoso. Portanto, é importante tomar todas as medidas necessárias para invalidar o incidente.

Outro ataques a cadeia de suprimentos no macOS

No ano passado, o cliente do BitTorrent para macOS Transmission foi explorado duas vezes para propagar malware: primeiro foi o ransomware OSX/KeRanger e, em seguida, o ladrão de senha OSX/Keydnap. Neste ano, o aplicativo Handbrake, um popular transcoder multiplataforma, foi substituído no servidor original por uma versão que incluía o malware OSX/Proton.

Na semana passada, a ESET descobriu que o Elmedia Player era o novo integrante da lista de software popular entre os usuários do macOS que estava sendo usado para propagar o OSX/Proton. Este reprodutor atingiu a marca de um milhão de usuários em agosto:

Análise técnica

O OSX/Proton é um RAT comercializado como um kit em fóruns underground. A empresa Sixgill já o havia registrado anteriormente e, em seguida, foi analisado com mais profundidade por Thomas Reed do MalwareBytes, Amit Serper do CyberReason e Patrick Wardle do Objective-See.

Neste novo caso do software trojanizado da Eltima, o cibercriminoso construiu uma embalagem (wrapper) assinada em torno da versão legítima do Elmedia Player e do Proton. De fato, observamos o que parece ser a reembalagem e a assinatura em tempo real das embalagens, tudo com o mesmo ID de desenvolvedor da Apple válido.

A Eltima e a ESET estão trabalhando com a Apple para invalidar a ID do desenvolvedor utilizada para assinar o aplicativo malicioso – a Apple revogou o certificado. Veja o histórico de amostras atualmente conhecidas a seguir (as marcas de tempo estão todas no fuso horário EDT):

Aplicativo limpo:

TimestampID do desenvolvedorSHA-1 (arquivo dmg)
Timestamp=Oct 19, 2017, 8:00:05 AMAuthority=Developer ID Application: Clifton Grimm (9H35WM5TA5) e9dcdae1406ab1132dc9d507fd63503e5c4d41d9
Timestamp=Oct 19, 2017, 12:22:24 PMAuthority=Developer ID Application: Clifton Grimm (9H35WM5TA5) 8cfa551d15320f0157ece3bdf30b1c62765a93a5
Timestamp=Oct 19, 2017, 2:00:38 PMAuthority=Developer ID Application: Clifton Grimm (9H35WM5TA5) 0400b35d703d872adc64aa7ef914a260903998ca

Aplicativo trojanizado:

archiveArquivar usando zip
copyCopiar arquivo localmente
createCriar diretório do arquivo localmente
deleteApagar arquivo localmente
downloadBaixar arquivo através de uma URL
file_searchBuscar arquivos (executa find / -iname \"%@\" 2> /dev/null)
force_updateAuto-atualização com validação de assinatura digital
phonehome
remote_executeExecutar o arquivo binário dentro de um arquivo .zip ou um comando do shell
tunnelCriar túnel SSH usando a porta 22 ou 5900
uploadCarregar arquivo para o servidor do C&C

Inicialmente, o wrapper executa o verdadeiro Elmedia Player, armazenado na pasta Resources do aplicativo:

Por último, extrai e executa o OSX/Proton:

Como vimos em casos anteriores, o OSX/Proton apresenta uma janela falsa de autorização para obter os privilégios de root:

Persistência

O OSX/Proton se torna persistente através da inclusão de um agente responsável por executá-lo em todos os usuários do sistema quando o administrador insere as senhas. Além disso, cria os seguintes arquivos:

  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/updateragent.app

Comandos do backdoor

Como mencionamos anteriormente, o OSX/Proton é um backdoor com muitas capacidades para roubar informações. O componente que observamos interpreta os seguintes comandos:

 Domínio legítimoDomínio do C2 do Proton
Eltimaeltima.comeltima[.]in
Handbrakehandbrake.frhandbrakestore[.]com
handbrake[.]cc

Servidor do C&C

O Proton usa um domínio do C&C que se passa pelo domínio legítimo da Eltima, o mesmo que ocorreu no caso do Handbrake:

/Applications/Elmedia Player.app/Contents/Resources/.pl.zip9E5378165BB20E9A7F74A7FCC73B528F7B231A75multiple threatsZIP archive with the Proton malware + python scripts
/Applications/Elmedia Player.app/Contents/MacOS/Elmedia PlayerC9472D791C076A10DCE5FF0D3AB6E7706524B741OSX/Proton.D trojanThe launcher (or wrapper),
/tmp/Updater.app/Contents/MacOS/Updater3EF34E2581937BABD2B7CE63AB1D92CD9440181AOSX/Proton.C trojanProton malware, not signed
Elmedia Player.app30d77908ac9d37c4c14d32ea3e0b8df4c7e75464OSX/Proton.DWrapper, Signed
Elmedia Player.appe9dcdae1406ab1132dc9d507fd63503e5c4d41d9OSX/Proton.DWrapper,Signed

IOCs

A URL que distribuía o aplicativo trojanizado no momento da nossa descoberta era: hxxps://mac[.]eltima[.]com/download/elmediaplayer.dmg

Servidores do C&C:

eltima[.]in / 5.196.42.123 (domínio registado em 15/10/2017).

Hashes

RotaSHA-1Detecção da ESETDescrição
Elmedia Player.app/Contents/Resources/.pl.zip9E5378165BB20E9A7F74A7FCC73B528F7B231A75Diversas ameaçasArquivo ZIP com o malware Proton e scripts em Python
10A09C09FD5DD76202E308718A357ABC7DE291B5Diversas ameaçasArquivo ZIP com o malware Proton e scripts no Python
Elmedia Player.app/Contents/MacOS/Elmedia PlayerC9472D791C076A10DCE5FF0D3AB6E7706524B741OSX/Proton.DLauncher (ou empacotador)
795B8BCADCAAF56DAC7CFDDF44F97A32AAAA4987OSX/Proton.DLauncher (ou empacotador)
30D77908AC9D37C4C14D32EA3E0B8DF4C7E75464OSX/Proton.DLauncher (ou empacotador)
Updater.app/Contents/MacOS/Updater3EF34E2581937BABD2B7CE63AB1D92CD9440181AOSX/Proton.CMalware Proton, sem assinatura
EF5A11A1BB5B2423554309688AA7947F4AFA5388OSX/Proton.CMalware Proton, sem assinatura

Um reconhecimento especial para Michal Malik, Anton Cherepanov, Marc-Étienne M. Léveillé, Thomas Dupuy e Alexis Dorais-Joncas pelo trabalho realizado na pesquisa.

Discussão