Ya lo hemos visto en otras ocasiones, pero no que sea un problema para los dispositivos con sistema operativo macOS. Expertos en seguridad han detectado un problema en el sitio web del reproductor multimedia Elmedia. Para ser más precisos, ciberdelincuentes han modificado el contenido de su página web. De esta forma, cuando el usuario procede a la descarga del contenido, en realidad está descargando es un troyano que permite el acceso remoto al dispositivo.

La empresa afectada es Eltima, conocida por desarrollar software tanto para Windows como macOS. En esta ocasión, los sistemas operativos de la empresa de Redmond no se han visto afectados, pero sí los de Cupertino. Expertos en seguridad han indicado que el contenido distribuido entre los usuarios fue modificado. Esto supuso que, durante un tiempo no determinado, los usuarios descargasen un troyano que permite el acceso remoto a los dispositivos.

La empresa de seguridad ESET fue la encargada de alertar sobre este aspecto. Desde la empresa no ha facilitado ningún tipo de información. Ni cuando se produjo el reemplazo del contenido ni la cantidad de usuarios que se han visto afectados. El sitio web quedó totalmente limpio de malware a primeras horas del día 20. Desde ESET indican que todos aquellos usuarios que hayan realizado la descarga dos días antes podrían estar afectados. Sin embargo, se trata de una mera aproximación, ya que no existe una confirmación oficial.

Elmedia es un reproductor bastante popular, sobre todo entre los usuarios del sistema operativo de los de Cupetino, de ahí que los ciberdelincuentes hayan optado por dejar a los sistemas Windows a un lado.

Elmedia y el troyano distribuidos en la misma descarga

Los ciberdelincuentes han modificado el paquete de instalación original, añadiendo el proceso de instalación de este troyano que permite el acceso remoto al dispositivo. Los expertos en seguridad ESET han indicado que la principal función es recopilar toda la información que le sea posible. Se temía que el dispositivo fuera utilizado a modo de “zombie” para distribuir otros contenidos o realizar ataques DDoS, pero por el momento esto no es así.

No es la primera vez que sucede esto en Eltima

Viajando atrás en el tiempo, nos encontramos que este mismo año, la empresa propietaria de Elmedia ya tuvo que hacer frente a un caso similar, solo que, en esa ocasión, el software distribuido era una puerta trasera. De nuevo, es evidente que algunas empresas no se toman en serio la seguridad de los usuarios de sus productos, y esta es un claro ejemplo. Además, la desinformación es un problema, no sabiendo qué usuario podrían estar afectados.

La recopilación de información se centra sobre todo en aquella que pertenece a VPNs, gestores de contraseñas, monederos de criptomonedas, claves SSH privadas o cookies de navegadores web.

Cómo puedo saber si estoy afectado

Dado que no existe un periodo en el que acotar la existencia de malware en el sitio web, los usuarios pueden comprobar si están afectados verificando si existen las siguientes carpetas en su equipo:

• /tmp/Updater.app/
• /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
• /Library/.rand/
• /Library/.rand/updateragent.app/