Accueil > Nouvelles Cyber > Coldroot macOS RAT et Keylogger ne sont pas détectés pendant des années
CYBER NOUVELLES

Coldroot macOS RAT et Keylogger pour les années ne sont pas détectés

Coldroot est un cheval de Troie d'accès à distance (RAT) qui a été distribué sur les machines MacOS sans être détecté depuis un certain temps. Les chercheurs disent que le malware est multiplateforme et qu'il pourrait déposer avec succès un keylogger sur MacOS avant High Sierra. Le but de Coldroot est de récolter des informations d'identification de systèmes compromis.

histoire connexes: Mouche des fruits, le premier Mac Malware pour 2017 Cracked par chercheur

Coldroot accès à distance de Troie Détails techniques

Le logiciel malveillant a été découvert par Patrick Wardle de Digita Sécurité. Le chercheur a couvert plus, attaques mitigées «qui a cherché à écarter ou éviter les messages de sécurité interface utilisateur", comme abusant AppleScript, l'envoi d'événements de souris simulé via graphiques de base, ou même d'interagir avec le système de fichiers.

Un exemple de ce dernier était DropBox, qui la base de données de confidentialité des années macos modifiés directement’ (TCC.db) qui contient la liste des applications qui sont offertes « accessibilité’ droits. Avec ces droits, les applications peuvent alors interagir avec le système UIs, autres applications, et même d'intercepter les événements clés (i.e. keylogging). En modifiant directement la base de données, on pourrait éviter l'alerte du système odieux qui est normalement présenté à l'utilisateur.

Apple a déjà atténué cette attaque en utilisant Système de protection de l'intégrité, plusieurs keyloggers macos tentent toujours de tirer parti de ce. Voilà pourquoi le chercheur a décidé d'analyser un tel keylogger.

L'échantillon de la RAT Coldroot il a examiné est non signé. Apparemment, l'outil lui-même a été mis en vente sur les marchés souterrains depuis Janvier, 2017. En outre, versions du code malveillant sont disponibles sur GitHub depuis deux ans.

Lorsqu'il est activé, il apporte des modifications à son système base de données de la vie privée appelée TCC.db, qui est conçu pour maintenir une liste des applications et leur niveau d'accessibilité des droits. "Avec ces droits, les applications peuvent alors interagir avec le système UIs, autres applications, et même d'intercepter les événements clés (i.e. keylogging). En modifiant directement la base de données, on pourrait éviter l'alerte du système odieux qui est normalement présenté à l'utilisateur,» Dit le chercheur.

En outre, Coldroot déguise en tant que pilote audio d'Apple – com.apple.audio.driver2.app. lorsque vous cliquez dessus, il montrerait une invite d'authentification standard demandant à l'utilisateur d'entrer leurs informations d'identification macos. Une fois que la victime potentielle est dupé, la RAT modifierait la base de données TCC.db de confidentialité permettant lui-même les droits accessibilité et l'ensemble du système keylogging.

histoire connexes: MacRansom et MacSpy Prouver que les Mac ne sont pas sûrs des logiciels malveillants

Coldroot peut être persistante sur un système en lui-même l'installation comme un démon de lancement, ce qui signifie qu'il démarre automatiquement à chaque redémarrage. Plus de détails techniques que vous pouvez trouver ici.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord