Coldroot ist ein Fernzugriff Trojan (RAT) dass wurde auf MacOS Maschinen verteilt, ohne schon seit geraumer Zeit erkannt wird. Die Forscher sagen, dass die Malware-Cross-Plattform ist und dass es erfolgreich einen Keylogger auf MacOS vor der High Sierra fallen könnte. Coldroot Zweck ist von kompromittierte Systeme Credentials bis zur Ernte.
Coldroot Remote Access Trojan Technische Daten
Die Malware wurde von Patrick Wardle von Digita Sicherheit entdeckt. Der Forscher wurde abdeckt älter, gemildert Angriffe „die gesucht UI Sicherheitsabfragen zu entlassen oder zu vermeiden,", wie Apple missbrauchen, Senden simulierte Mausereignisse über Core-Grafik, oder sogar mit dem Dateisystem interagieren.
Ein Beispiel für Letzteres wurde DropBox, die direkt geändert macOS der Privatsphäre der Datenbank’ (TCC.db) welche die Liste der Anwendungen enthält, die gewährt werden ‚Zugänglichkeit’ Rechte. Mit solchen Rechten, Anwendungen können dann mit dem System interagieren UIs, andere Anwendungen, und sogar abfangen Schlüsselereignisse (d.h.. Keylogging). Durch die direkt auf die Datenbank zu modifizieren, könnte man die widerwärtigen Systemwarnungen vermeiden, die normalerweise den Benutzer präsentiert wird.
Apple hat bereits diesen Angriff gemildert durch den Einsatz Systemintegrität Schutz, mehrere macOS Keyloggern versuchen immer noch, es zu nutzen. Deshalb ist der Forscher entschieden eine solche Keylogger zu analysieren.
Die Probe des Coldroot RAT suchte er ist ohne Vorzeichen. Offenbar, das Werkzeug selbst wurde zum Verkauf auf U-Bahn-Märkten seit Januar angeboten, 2017. Außerdem, Versionen des Malware-Code haben auf GitHub für zwei Jahre zur Verfügung.
Wenn aktiviert, es macht Änderungen des Systems Datenschutz Datenbank namens TCC.db, die ausgelegt ist, eine Liste von Anwendungen und dessen Grad der Zugänglichkeit Rechte zu halten. "Mit solchen Rechten, Anwendungen können dann mit dem System interagieren UIs, andere Anwendungen, und sogar abfangen Schlüsselereignisse (d.h.. Keylogging). Durch die direkt auf die Datenbank zu modifizieren, könnte man die widerwärtigen Systemwarnungen vermeiden, die normalerweise den Benutzer präsentiert wird,“Der Forscher sagte.
Weiter, Coldroot verschleiert als Apple-Audio-Treiber – com.apple.audio.driver2.app. wenn Sie darauf klicken, es würde eine Standard-Authentifizierungsaufforderung zeigt den Benutzer auffordert, ihre macOS Anmeldeinformationen eingeben. Sobald die potentiellen Opfer betrogen, der RAT würde die Privatsphäre TCC.db Datenbank ermöglicht selbst Zugänglichkeit Rechte und systemweite Keylogging ändern.
Coldroot kann auf einem System persistent selbst als Start Dämon Installation, was bedeutet, dass es automatisch bei jedem Neustart startet. Weitere technische Details finden können hier.