Proton Malware

O Proton Malware (também conhecido como OSX/Proton) é um malware para o Mac que possui recursos potentes de coleta de dados. O Proton Malware é classificado como um Trojan backdoor e teve várias campanhas dedicadas à sua distribuição. A primeira tentativa de coletar informações confidenciais é quando o OSX/Proton, mascarando-se como um instalador legítimo, exibe uma janela pop-up solicitando o nome de usuário e a senha do perfil do Mac em uso. Se as informações necessárias forem fornecidas, o Proton Malware pode começar a executar sua programação ameaçadora a sério.

Primeiro, um backdoor é criado de volta por meio dos arquivos /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist e /Library/.rand/updateragent.application. Vários comandos podem ser ativados pelo servidor de Commando-e-Controle (C2) operado pelos hackers. O Proton Malware pode criar, copiar, excluir e baixar arquivos na máquina infectada, bem como fazer o upload de arquivos para sua infraestrutura C2.

Vários sistemas e detalhes pessoais podem ser acessados pelo OSX/Proton. O Proton Malware pode obter o número de série do hardware da máquina infectada, nome do host, nome completo do usuário, detalhes do gateway, informações do navegador de vários dos navegadores mais populares - Chrome, Firefox, Safari e Opera. Endereços de carteira de criptomoedas para o Electrum, Bitcoin e Armory também podem ser exfiltrados. As senhas e credenciais de login podem ser extraídas dos gerenciadores de senha Keychain Access e 1Password ou do pacote de software criptográfico GNU Privacy Guard (GPG).

O Proton Malware deixa as senhas do usuário em formato de texto não criptografado em vários arquivos deixados na máquina comprometida:

• ~/.calisto/cred.dat
• ~/Library/VideoFrameworks/.crd
• /Library/.cachedir/.crd

Se os arquivos não forem excluídos especificamente, qualquer infecção futura pode explorar seus detalhes para aumentar suas permissões e expandir a sua funcionalidade.

Numerosas Campanhas Levaram o OSX/Próton como Carga Útil

Os especialistas em segurança cibernética observaram algumas campanhas dedicadas à distribuição do OSX/Proton. Ele foi detectado pela primeira vez quando o aplicativo de extração de DVD HandBrake foi hackeado. O arquivo do instalador legítimo foi substituído por um comprometido no site oficial do aplicativo para ser baixado pelos visitantes desavisados. Uma tática semelhante foi empregada em outra campanha quando o site da Eltima Media foi hackeado e dois de seus produtos - Elmedia Player e Folx, foram modificados e começaram a eliminar o Malware Proton. Os cibercriminosos então criaram um site falso da Symantec que divulgou um aplicativo falso da Symantec que continha o OSX/Proton.

Atualmente, esse malware é considerado inativo. Os avanços na prevenção de malware começaram a interromper sua funcionalidade em um nível central, resultando nos seus servidores C2 sendo colocados offline.