Coldroot es un troyano de acceso remoto (RATA) que se ha distribuido en las máquinas MacOS sin ser detectado desde hace bastante tiempo. Los investigadores dicen que el malware es multiplataforma y que podrían caer con éxito un keylogger en MacOS antes de la Sierra Alta. El propósito de Coldroot es cosechar las credenciales de los sistemas comprometidos.
Coldroot troyano de acceso remoto Detalles técnicos
El malware fue descubierto por Patrick Wardle de Digita Seguridad. El investigador ha estado cubriendo mayores, ataques mitigados “que pretendía despedir o evitar mensajes de seguridad de interfaz de usuario", tales como abuso de AppleScript, el envío de eventos de ratón simuladas a través de gráficos básicos, o incluso interactuar con el sistema de archivos.
Un ejemplo de esto último fue DropBox, base de datos de privacidad que directa modificados de MacOS’’ (TCC.db) que contiene la lista de las aplicaciones que se produjo ‘accesibilidad’ derechos. Con tales derechos, aplicaciones pueden interactuar con el sistema de interfaces de usuario, otras aplicaciones, y los eventos claves, incluso interceptar (es decir. keylogging). Al modificar directamente la base de datos, se podría evitar la alerta odioso sistema que normalmente se presenta al usuario.
Apple ya ha mitigado este ataque mediante el uso de Protección de la integridad del sistema, varios keyloggers MacOS todavía están tratando de aprovechar lo. Es por eso que el investigador decidió analizar uno de esos keylogger.
La muestra de la rata Coldroot examinó está sin firmar. Al parecer,, la propia herramienta ha sido puesta a la venta en los mercados subterráneos desde enero, 2017. Adicionalmente, versiones del código de malware han estado disponibles en GitHub durante dos años.
Cuando se activa, realiza cambios en el sistema de base de datos de privacidad llama TCC.db, que está diseñado para mantener una lista de aplicaciones y su nivel de accesibilidad de los derechos. "Con tales derechos, aplicaciones pueden interactuar con el sistema de interfaces de usuario, otras aplicaciones, y los eventos claves, incluso interceptar (es decir. keylogging). Al modificar directamente la base de datos, se podría evitar la alerta odioso sistema que normalmente se presenta al usuario,”Dijo el investigador.
Además, Coldroot disfraza como un controlador de audio de Apple – com.apple.audio.driver2.app. cuando se hace clic, sería una muestra de una solicitud de autenticación estándar de pedir al usuario que introduzca sus credenciales MacOS. Una vez que la víctima potencial es engañado, la RAT modificaría la base de datos TCC.db privacidad dejándose derechos de accesibilidad y keylogging de todo el sistema.
Coldroot puede ser persistente en un sistema mediante la instalación de sí mismo como un demonio de lanzamiento, lo que significa que se iniciará automáticamente después de cada reinicio. Más detalles técnicos se pueden encontrar aquí.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: