image

Mac-apps Elmedia Player en Folx enige tijd besmet met malware

vrijdag 20 oktober 2017, 11:47 door Redactie, 5 reacties
Laatst bijgewerkt: 20-10-2017, 17:12

De officiële website van de Mac-apps Elmedia Player en Folx heeft enige tijd met malware besmette versies van de software aangeboden. Het is niet voor het eerst dat Mac-gebruikers op deze manier worden aangevallen. Eerder wisten aanvallers ook de officiële versie van Handbrake en Transmission van malware te voorzien.

Elmedia Player is een door softwarebedrijf Eltima ontwikkelde mediaspeler voor het afspelen van verschillende videoformaten en passeerde in augustus de 1 miljoen gebruikers. De downloadmanager Folx is van hetzelfde bedrijf afkomstig. Beide programma's zijn voor macOs ontwikkeld. Onderzoekers van anti-virusbedrijf ESET ontdekten op donderdag 19 oktober dat een besmette versie van Elmedia Player via de officiële website van Eltima werd aangeboden. ESET waarschuwde Eltima en een kleine vijf uur later zou de infrastructuur van het bedrijf zijn opgeschoond en worden er weer schone versies van Elmedia Player en Folx aangeboden. In deze periode zijn de besmette apps door bijna 1000 gebruikers gedownload.

De malware die aan de mediaspeler en downloadmanager was toegevoegd wordt Proton genoemd. Het gaat om een Trojaans paard dat aanvallers ook in de officiële versie van Handbrake wisten te verbergen. Via Proton kan een aanvaller wachtwoorden en bestanden stelen, zoals GnuPG-data, Tunnelblick VPN-configuratie, 1Password-data, macOS keychain-data, ssh-data, cryptocurrency wallets en browsergegevens, de webcam gebruiken en aanvullende malware installeren. Softwarebedrijf Panic, waar een werknemer een besmette versie van Handbrake had geinstalleerd, liet in mei weten dat een aanvaller via de Proton Trojan broncode van het bedrijf had gestolen.

ESET adviseert getroffen gebruikers waar het beheerdersaccount is gecompromitteerd om een herinstallatie van macOS uit te voeren en eventueel opgeslagen wachtwoorden en andere mogelijk gestolen inloggegevens te wijzigen. Eltima heeft op de eigen website nog geen melding van het incident gemaakt. Het is op dit moment onduidelijk hoe lang de besmette versie is aangeboden. Gebruikers die Elmedia Player hebben gedownload moeten controleren of onderstaande directories op het systeem aanwezig zijn. In dit geval is de besmette versie geïnstalleerd en is de Proton Trojan waarschijnlijk actief.

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

Update

In een verklaring op de eigen website meldt Eltima dat er ook een besmette versie van de downloadmanager Folx is aangeboden. Hierop is het artikel aangepast. Verder laat het softwarebedrijf weten dat de malware niet meer wordt aangeboden. Hoe de aanvallers toegang tot de servers wisten te krijgen is niet bekendgemaakt. Ook laat het bedrijf niet weten hoe lang de besmette versie werd aangeboden. We hebben Eltima dan ook om een reactie gevraagd.

Update 2

Eltima laat in een reactie aan Security.NL weten dat de besmette versies van Folx en Elmedia Player gedurende een periode van 24 uur zijn aangeboden. De aanvallers wisten binnen te komen via een kwetsbaarheid in de tiny_mce JavaScript library die op de server draaide.

Reacties (5)
20-10-2017, 15:43 door eltima software
In close cooperation with ESET and Apple representatives, we have applied all necessary measures to prevent further malware spread.

Now we officially inform that Elmedia, Folx, as well as other our products are absolutely safe to install and malware-free.
20-10-2017, 16:44 door Anoniem
Tja ... zijn we verrast??

Niet helemaal

-> ! Video codecs en videoconverters zijn voor alle systemen al jaaaaaren een item om malware verstoppen.
De truc om regeltjes code in te verstoppen die wat extra taken uitvoert zonder dat jij het weet of ermee eens bent.

Het is een algemene wijsheid hiermee op te passen, maar goed als je het wil hebben en erover hebt gelezen dan zou je kunnen doordrukken.

-> ! Apple heeft niet voor niets een App store waar trusted apps in staan.
Dat gaat niet altijd helemaal goed, er komt wel eens wat doorheen, maar het is dan altijd nog veiliger dan sites van derden.

Daar is Apple protectie model dan ook mede op gebaseerd, jarenlang had je verschillende opties in je systeemvoorkeuren, het hoogste beveilingsniveau was om alleen apps te kunnen installeren vanuit de app store.

Daarna kon je als extra optie met minder veiligheid ook kiezen voor het kunnen installeren buiten de app store om van ook ontwikkelaars met een apple developers identiteit.
Ook dat gaat lang niet altijd goed want een identiteit kan je stelen, wat ook in dit geval is gebeurd.

Dan had je nog de laagste security optie om alles van anywhere te kunnen downloaden en installeren.

De keuze via de app store is dus het veiligst en deze ontwikkelaar biedt haar software niet aan via de app store?
Waarom niet??

-> ! Deze ontwikkelaar die ook windows doet kiest er bewust voor om buiten de veiliger app store te werken en biedt software direct aan.

Als we op deze site kijken bij de downloads doet de ontwikkelaar niet erg zijn best om de gebruiker veiligheid te bieden.
Iets dat de ontwikkelaar van het gratis en uitstekend werkende Handbrake dan in ieder geval nog wel had gedaan; het aanbieden van een sha bij de download zodat je kan controleren wat je hebt gedownload.
Helemaal fraai is het als je die hash onder een ander domein aanbiedt want als het op dezelfde website staat kan je natuurlijk naast de download directory ook even de sha aanpassen.
Tenzij het omgekeerde het geval is, namelijk dat de download onder een ander domein wordt aangeboden.

Als je iets download van een site buiten de app store om is het dus oppassen en beter om te controleren wat je hebt gedownload.

-> ! Wat is het voor App??

- Je hebt apps die je direct kan runnen, zelfs vanuit je standaard account.
- Je hebt apps die graag in je Applications map staan en een password willen bij installatie.
Dat password moet je invullen als je onder een gewoon user account werkt en iets in je programma map wil zetten, dus een pop up window met password vraag is niet zo gek.

Wat je kan doen om te kijken of de app eigenlijk meer wil is het volgende.
Sleep bij installatie de app niet naar je programma map maar naar je desktop.
Open daarna de app en kijk of de app om een password vraagt, als dat gebeurt weet e dus dat er nog een ander willetje verborgen zit in de app, en dat is reden om je af te vragen waar dat dan voor nodig is.

- Dan heb je de packages installers pkg, die hebben eigenlijk altijd een password nodig omdat ze allerhande code diep in je systeem willen installeren.
Daar heb je geen enkel zicht op en denk 10x na voordat je zoiets gaat installeren.
Is er reden tot vertrouwen en is er vooral reden tot wantrouwen.

Een av product van een bekend merk is eerder reden to vertrouwen dan iets van een andere boer die het ook nog buiten de app store aanbiedt.
Het vervelende is dat als een app allerhande codecs extra wil installeren het dat op plekken wil doen waar vaak een password voor nodig is.

-> ! Dit is een video app en wil dus extra codec software laten runnen.

Best logisch dus dat het een password zou willen.
Maar wat wil het dan allemaal installeren?
Die vraag kan ik niet beantwoorden want daar ben ik niet onderlegd genoeg voor maar als we even in de app.package kijken zitten daar allerhande frameworks in.

Het is bekend dat app's die gebruik maken van allerlei frameworks die frameworks niet altijd updaten of dat de frameworks zelf lekken bevatten die niet gefixt zijn.
Hoe meer frameworks zo's app heeft hoe kwetsbaarder het is omdat het aanvalsoppervlak groter is.

Vraagje, ken jij bepaalde video plugin software die nogal kwetsbaar is voor veiligheids lekken en continue moet worden geüpdatet? Soms wel meerdere keren in een maand?
Weet je welke dat is?

Inderdaad, zit in deze software meegeleverd.
"
Adobe Flash Player 10.3 r183 Copyright (c) 1996-2011 Adobe Systems Incorporated."
Verder kijkende
<key>CFBundleVersion</key>
<string>10.3.183.90</string>

Het is me niet duidelijk of het hier gaat om een heeeeeeel oude versie van flashplayer, een ESR versie die wel of niet up to date is, of een macromediaplayer die nog meer risico's met zich meebrengt omdat die player ook mogelijkheden biedt voor de uitvoer van allerhande scripts en dus meer mogelijkheden biedt om jou Macje aan te vallen.

Maar als we hier kijken
https://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html
Komen we uit bij Mac OS x 10.5 en dat is 8 Mac OS X versie geleden, dat is het soort ruime ondersteuning dat Adobe allang niet meer biedt en betekent vermoedelijk dat het hier om een steenoude versie gaat wat ook weer ondersteund wordt door de vermelding "1996-2011 Adobe Systems Incorporated", het is 2017 is mij verteld.

-> ! Omdat ik vin dat ik niet alles hoef voor te kauwen en dat ook niet kan maar sommige slimmerts hier veel meer verstand van zaken hebben.

Deze packages zitten er ook in, onderzoek het zelf

Zijn al deze frameworks wel up to date??

- FlashInApp.framework
Hebben we hier al aangekaart

- Sparkle.framework
Voor deze kom ik er niet uit, wie hint er voor het controleren van de versie

1.18.1 is kennelijk de laatste maar dat getal zie ik elders niet terugkomen.
https://github.com/sparkle-project/Sparkle/releases

Hier staat wat anders in de info plist van het meegeleverde sprake frame work
<key>CFBundleShortVersionString</key>
<string>1.6 git</string>

Oke, je snapt het idee, controleren hoe deze ontwikkelaar zijn software samenstelt, doet ze dat met up to date componenten??

-> ! Meer frameworks :

- Growl.framework
- FeedbackReporter.framework
(telemetrie? Met of zonder toestemming en wat gaat er over de lijn?)
- Appstatico.framework
Framework van eltima zelf dat iets van doen heeft met de cloud en shared disks?

- UniversalDetector.framework


-> ! Nou ja, je ziet het al, zomaar software vertrouwen heeft wel een paar nadelen.

En de pest is dat aanvallers meestal deze weg zoeken, extra code verstoppen in bestaande software dat al om een password vraagt bij installatie.
Want zo help jij ze een security barrière te overbruggen die ze vaak zelf niet kunnen overbruggen, het verkrijgen van admin rechten op je systeem.

En je weet, als je admin rechten op een systeem hebt, tja welk systeem is dan nog 100% veilig?

Pas dus op voor social engineering en apps met veel risico.

En vraag je af welk probleem je nou probeert te tackelen, hoe belangrijk dat is en of er veiliger alternatieven beschikbaar zijn!!

Flash? SWF?? Hoezo?? We waren toch al wel op het punt aangeland dat flashplayer van je systeem af kan?!


-> ! Oh, een official update hier!
Door eltima software: In close cooperation with ESET and Apple representatives, we have applied all necessary measures to prevent further malware spread.

Now we officially inform that Elmedia, Folx, as well as other our products are absolutely safe to install and malware-free.
Well, maybe not guys.
- Please give users an sha with the download!!
And please make sure that all your frameworks within the app are all up to date, I heard that there is some doubt around that.

- Offer your downloads in the app store! Since you are 'only' providing software for Mac OS X 10.7 and higher there is no problem for these systems to do that.


absolutely safe to install "?"
Er lijkt ruimte voor verbetering, en zolang die er nog is is het niet absoluut.
Absoluut is overigens 100% en 100% veiligheid bestaat sowieso niet.
Wat mij betreft zit men daar nog niet (va daar dat ze eltima heet een geen ultimo? :) omdat ik nog niet overtuigd ben.
Maar dat kan ook aan mij liggen, oordeel zelf.

Have fun and take care
Handbrake is overigens heel goed (in formaten omzetten naar mp4, met html5 is vrijwel alles online ook mp4, dus fijn alles naar 1 formaat!) en ontzettend gratis, maar daar is het ook oppassen af en toe dus controlleeeeerrr de wel meegegeven hash!!.
20-10-2017, 22:17 door Anoniem
Door Anoniem:
dus controlleeeeerrr de wel meegegeven hash!![/i].
en wat als de hash ook aangepast wordt? hashes zijn geen security. ze zorgen er alleen voor dat je kan controleren of een bestand beschadigd is (harddisk rot, on-wire, etc).

code signing is wat je zoekt.
21-10-2017, 15:48 door Anoniem
Niet up to date componenten ?

Weinig animo hier om zaken te onderzoeken.
Terwijl er misschien wel aanleiding voor is.

Folx ---> Airy
Het andere besmette product betrof FOLX.
Als we dat product downloaden en bekijken
Folx downloader_mac.dmg
of
downloader_mac_5.2.1.13690.dmg

Dan zitten er in het Info.plist bestand allerhande "Campaign"links verstopt die wellicht geactiveerd worden bij installatie of gebruik.
Die gaan niet allemaal naar eltima zelf en wat ook opvalt is dat sommige wel verwijzen naar een https domein maar anderen dus niet, al volgen die uiteindelijk wel weer een redirect maar toch, waarom niet netjes in 1 keer goed.

De eerste link verwijst naar een andere app : Airy
<key>AiryURL</key>
<string>http://mac.eltima.com/youtube-downloader-mac.html?utm_source=Folx%20build&amp;utm_medium=build&amp;utm_campaign=Airy%20in%20Folx</string>

Airy problemen ?
Als we Airy downloaden en ook weer bekijken op componenten dan is daar geen (zwaar verouderde?) Flashplugin meegeleverd maar een andere component : ffmpeg

Gaan we op zoek naar de versie in de code van die ffmpeg executable dan is deze versie info te vinden
...FFmpeg version 2.5.4 libavdevice....
Kijken we bij de release history van ffmpeg
https://ffmpeg.org/releases/
Dan komen we uit bij 2015!

Gaan we vervolgens even zoeken of er in die twee jaar tot heden misschien nog security dingetjes aan de orde zijn geweest dan zien we het volgende, kijk maar mee
https://www.cvedetails.com/vulnerability-list/vendor_id-3611/ffmpeg.html
Dan zien we in totaal 76 kwetsbaarheden die daarna nog zijn ontdekt en hele tritsen met waarde 7.5, beoordeel zelf maar of dat kritisch is of niet.

Ook in de info.plist van Airy zit een updater string die weer naar een pagina doorverwijst naar een te downloaden Airy versie, versie 'airy_3.2.175.dmg' en ook in die versie is dezelfde ffmpeg versie te vinden met verwijzing naar dezelfde oude 2015 versie.
Het is dus niet zo dat je eerst een twee jaar oude versie download en direct update naar de nieuwste..

Security nattigheid ?
Alweer de vraag "hoe zit dat?".
En hoe zit het dan met al die andere Mac apps die zij aanbiedt?

Zijn alle componenten van al die apps wel up to date?
En wat is de update frequentie dan?
Wordt er direct gepatcht als er kwetsbaarheden worden gevonden? Dan heb je daar elke maand wel werk van als het om flash gaat.

Bekijk het maar!
Dit is een security forum, voel je vooral uitgenodigd (ook als mac gebruiker) zelf eens een app nader te bestuderen en er gericht vragen over te stellen.
Er lijkt bij deze leverancier wel reden toe.

Ze biedt overigens wel apps aan ook in de itunesstore maar die verschillen qua grootte dus vermoedelijk ook qua inhoud. Wat of welke componenten worden er dan extra ingezet op de off-itunes downloads?
Nog meer verwarring en verwarring is niet handig als er al gedonder is met je security.

Verbeterpunten ?
En absolute veiligheid garanderen is 1 ding maar zorg dan ook dat je aandacht hebt besteedt aan alle details om het idee van zorgvuldigheid te ondersteunen.

Dat kan zijn bijvoorbeeld :

- Zorgen dat al je gebruikte componenten ook daadwerkelijk up-to date zijn.
- Zorgen dat voor een gebruiker direct duidelijk is dat een versie nieuw is, een build nummer zegt mensen niets.
- Biedt je bestanden niet onder meerdere namen aan als het om dezelfde versie gaat.
- Als je je software contact laat maken met het internet bij gebruik of ingebruikname zorg dan dat je ook consequent alles over ssl laat lopen en niet soms wel en soms niet (kleine moeite nietwaar).
- ... wat anderen nog gevonden hebben

Kwetsbaar voor misbruik ?
Daarnaast vraag ik mij af of die aanvallers niet beter een van de linkjes hadden kunnen aanpassen naar een ander domein om malware binnen te halen, dan had eset misschien wel helemaal niets ontdekt, of wel maar de link niet gelegd met de app?
Misschien ook nog wel een aardige discussie hoe veilig dat is een app met allerlei embedded links erin.

Hello firewall en exit torrent sofware ?
Denk eens na over een extra firewall, dat kan heel inzichtelijk zijn om te zien wat een app eigenlijk allemaal wil en dan kan je gelijk ook beslissingen nemen of jij dat wel oké vindt.
Al zijn firewall oplossingen weer niet heel handig bij torrent software, misschien moet je daar dan ook maar een keer mee stoppen of mee gaan minderen want het is bepaald niet toevallig dat er twee categorieën software heel populair zijn om aan te vallen

- Torrenstsoftware
- Video software

Opletten geblazen en checken wat je download.
Kan dat niet? Kies dan voor iets anders of doe wat andere extra checks.

Zou iemand het nog oppikken, of is dit nieuws alweer te oud voor aandacht en daarmee niet meer relevant geacht? Misschien dat eset nog meesleest.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.