COLDROOT RAT. Двухгодичная «дыра» в безопасности MacOS.

Двухгодичный COLDROOT RAT, троян удаленного доступа нацеленный на MacOS, все еще не поддается обнаружению.

Троян является кросс-платформенным, и способен работать в системах MacOS до версий OS High Sierra. Судя по всему, исходно малварь была создана кем-то шутки ради, чтобы «поиграть с пользователями Mac» и «предоставить им права в этой [RAT] области». Но теперь троян изменился и работает для Linux, macOS и Windows.

В свою очередь, может быть предназначен для кражи банковских учетных данных и другой информации.

Coldroot RAT может инициировать новые сессии удаленного рабочего стола, делать снимки экрана жертвы, запускать и останавливать процессы в целевой системе, искать, скачивать, загружать вовне или выполнять произвольные файлы. Все собранные данные малварь отправляет на удаленный управляющий сервер, где они доступны через веб-панель.

Coldroot RAT был найден исследователем Патриком Варделом, главным исследователем Digital Security. По его словам, вредоносное ПО, похоже, продается на рынках даркнета с 1 января 2017 года, а версии кода Coldroot также доступны на GitHub уже два года.

Варделл с грустью отмечает, что основная проблема заключается в том, что Coldroot до сих пор практически не обнаруживается защитными решениями, хотя исходники вредоноса и были опубликованы в открытом доступе почти два года тому назад. Так, согласно VirusTotal, малварь «не видит» ни одно антивирусное решение.

Немного интересной технической информации

Образец RAT, проверенный Вардел, не имеет подписи. При его запуске, вносятся изменения в базу данных конфиденциальности macOS под названием «TCC.db», которая поддерживает список приложений и уровень прав доступа, которыми они обладают. С такими правами, приложения могут взаимодействовать с пользовательскими интерфейсами системы, другими приложениями и даже перехватывать ключевые действия (т. е. вести кейлоггинг). «Путем непосредственной модификации базы данных, можно было избежать неприятного системного оповещения, которое обычно предоставляется пользователю», — писал Вардел.

Он сообщил, что RAT маскируется как звуковой драйвер Apple «com.apple.audio.driver2.app». Далее, при нажатии на него, отображает стандартную подсказку для проверки подлинности, запрашивающая цель ввести свои учетные данные MacOS. После включения, RAT изменяет базу данных конфиденциальности «TCC.db», предоставляя права доступа к вредоносным программам для выполнения системного кейлогинга.

Исследователь отмечает, что в системах MacOS High Sierra, Apple теперь защищает «TCC.db» через систему защиты целостности системы (SIP). Он написал: «Cкрипту Coldroot RAT не удастся выполнить root действия, в новых версиях macOS (Sierra +), поскольку база данных конфиденциальности теперь защищена SIP(ом)».

Coldroot RAT сохраняет постоянство в системах MacOS, устанавливая себя как daemon-запуск. Это означает, что вредоносное ПО запускается автоматически при каждом перезагрузке зараженной системы.

Вардел отметил: «За кулисами приложение автоматически выйдет на сервер. В то время как создание сетевого соединения само по себе не является вредоносным, это обычная тактика, используемая вредоносными программами. В частности, для регистрации с сервером управления, и управления для выполнения задач».

«Когда вредоносное ПО получает команду от сервера для запуска сеанса удаленного рабочего стола, он генерирует новый поток с именем «REMOTEDESKTOPTHREAD». Он в основном сидит в цикле «while» (пока не выдается команда: «остановить удаленный рабочий стол»), взяв и «потоковый» захват экрана рабочего стола пользователя для удаленного злоумышленника, который заразил компьютер», — отмечает он.

Вардел также сообщил, что автор вредоносного ПО «Coldzer0», предоставляет фрагменты кода RAT онлайн, начиная с января 2017 года. Он отметил, что автор рекламировал Coldroot для продажи, и предлагал покупателям способы настроить вредоносное ПО. Он отмечает, что видео, размещенное «Coldzer0», рекламирует Coldroot RAT как кросс платформу и может использоваться для атаки на системы MacOS, Windows и Linux.

Добавить комментарий