Wie Hersteller Eltima gegenüber Medienvertretern einräumen musste, waren die Direkt-Downloads des Elmedia Player und des Download-Manager Folx nach einem Hack der Webseite mit Schadsoftware versehen. Nutzer, die eine der Apps nicht über den Mac App Store geladen haben, sollten daher prüfen, ob ihr Mac möglicherweise infiziert ist. Da es sich um signierte Schadsoftware handelt, gibt es keinen offensichtlichen Hinweis auf Befall.


Erkennen lässt sich der Schädling anhand einer besonderen Dateistruktur, die man dem Bericht zufolge nur auf infizierten Macs vorfindet. Sofern die Datei... ... oder das Verzeichnis... ... vorhanden sind (im Finder +G drücken und Pfad einfügen), muss der Mac gereinigt werden. Der Angriff soll Parallelen zum HandBrake-Fall aufweisen (MTN berichtete: ). Ob Antiviren-Software wie Avira () allerdings bereits entsprechend aktualisiert wurde, um die "Proton"-Hintertür zu entfernen, ist nicht bekannt.

Stattdessen wird eine vollständige Neuinstallation des macOS ohne Übernahme von Daten empfohlen. Zudem sollte man die Kennwörter aller Konten ändern, da der Schädling unter anderem den Browser-Verlauf, Kennwörter und Schlüsselbund auslesen kann. Apple wurde über den Vorfall bereits informiert und hat das entsprechende Zertifikat für den signierten Schädling mittlerweile zurückgezogen. Eltima hat eigenen Angaben zufolge die Sicherheit der Webseite verbessert, um einen erneuten Befall der bereinigten Downloads zu verhindern.