Coldroot er en fjernadgang trojansk (RAT) der er blevet fordelt på MacOS-maskiner uden at blive opdaget i temmelig lang tid. Forskere siger, at malware er cross-platform, og at det med succes kunne falde en keylogger på MacOS før High Sierra. Coldroot formål er at høste legitimationsoplysninger fra kompromitterede systemer.
Coldroot Remote Access Trojan Tekniske Specifikationer
Den malware blev opdaget af Patrick Wardle fra Digita Sikkerhed. Forskeren har dækket ældre, mindskes angreb ”som søgte at afskedige eller undgå UI sikkerheds prompter", såsom misbruger AppleScript, sende simulerede musebegivenheder via core grafik, eller endda interagere med filsystemet.
Et eksempel på sidstnævnte var DropBox, som direkte modificerede MacOS s ’privacy-database’ (TCC.db) som indeholder listen over programmer, der ydes ’tilgængelighed’ rettigheder. Med sådanne rettigheder, applikationer kan derefter interagere med systemet UIS, andre programmer, og endda opfange vigtige begivenheder (dvs.. keylogging). Ved direkte redigering af databasen, man kunne undgå det klamt varslingssystem, der normalt præsenteres for brugeren.
Apple har allerede mildnet dette angreb ved at bruge System Integrity Protection, flere MacOS keyloggers stadig forsøger at udnytte det. Det er derfor, forskeren har besluttet at analysere en sådan keylogger.
Prøven af den Coldroot RAT han undersøgte ikke er signeret. Tilsyneladende, selve værktøjet er blevet udbudt til salg på underjordiske markeder siden januar, 2017. Desuden, versioner af malware kode har været tilgængelige på GitHub i to år.
Når funktionen er aktiveret, det gør ændringer i systemets privatliv database kaldet TCC.db, som er designet til at opretholde en liste over programmer, og deres niveau af rettigheder tilgængelighed. "Med sådanne rettigheder, applikationer kan derefter interagere med systemet UIS, andre programmer, og endda opfange vigtige begivenheder (dvs.. keylogging). Ved direkte redigering af databasen, man kunne undgå det klamt varslingssystem, der normalt præsenteres for brugeren,”Forskeren sagde.
Endvidere, Coldroot forklædninger som en Apple lyddriver – com.apple.audio.driver2.app. Når der klikkes, det ville vise en standard-godkendelse prompt beder brugeren om at indtaste deres MacOS legitimationsoplysninger. Når det potentielle offer er narret, RAT ville ændre privatliv TCC.db databasen giver sig selv ret til handicappede og hele systemet keylogging.
Coldroot kan være vedholdende på et system ved at installere sig selv som en lancering dæmon, Hvilket betyder, at det vil begynde automatisk ved hver genstart. Flere tekniske detaljer kan finde her.