Coldroot è un Trojan di accesso remoto (RAT) che è stata distribuita su macchine MacOS senza essere rilevata per parecchio tempo. I ricercatori dicono che il malware è multipiattaforma e che potrebbe scendere con successo un keylogger su MacOS prima di High Sierra. Lo scopo di Coldroot è quello di raccogliere le credenziali da sistemi compromessi.
Coldroot accesso remoto Trojan Dettagli tecnici
Il malware è stato scoperto da Patrick Wardle da Digita Security. Il ricercatore è stato che copre più vecchio, attacchi mitigate “che ha cercato di respingere o evitare richieste di sicurezza UI", come abusare AppleScript, l'invio di eventi del mouse simulati tramite core grafico, o anche l'interazione con il file system.
Un esempio di quest'ultimo era DropBox, database di privacy che direttamente modificati MacOS del’’ (TCC.db) che contiene l'elenco delle applicazioni che vengono concessa ‘accessibilità’ diritti. Con tali diritti, applicazioni possono quindi interagire con il sistema di interfacce utente, altre applicazioni, ed eventi chiave anche intercettare (i.e. keylogging). Modificando direttamente il database, si poteva evitare il sistema di allarme odioso che viene normalmente presentato all'utente.
Apple ha già attenuato questo attacco utilizzando Protezione dell'integrità del sistema, diversi keylogger MacOS stanno ancora cercando di sfruttare lo. È per questo che il ricercatore ha deciso di analizzare uno di questi keylogger.
Il campione del RAT Coldroot esaminò è firmato. Apparentemente, lo strumento in sé è stato offerto per la vendita sui mercati sotterranei da gennaio, 2017. In aggiunta, le versioni del codice del malware sono stati disponibili su GitHub per due anni.
Quando viene attivato, rende modifiche al sistema di database di privacy chiamato TCC.db, che è stato progettato per mantenere un elenco di applicazioni e il loro livello di accessibilità dei diritti. "Con tali diritti, applicazioni possono quindi interagire con il sistema di interfacce utente, altre applicazioni, ed eventi chiave anche intercettare (i.e. keylogging). Modificando direttamente il database, si poteva evitare il sistema di allarme odioso che viene normalmente presentato all'utente,”Ha detto il ricercatore.
Inoltre, Coldroot traveste da un driver audio di Apple – com.apple.audio.driver2.app. quando si fa clic, mostrerebbe un prompt standard di autenticazione che chiede all'utente di immettere le proprie credenziali MacOS. Una volta che la potenziale vittima è ingannato, RAT sarebbe modificare il database TCC.db privacy lasciandosi diritti di accessibilità e keylogging a livello di sistema.
Coldroot può essere persistente su un sistema installando stesso come un demone di lancio, il che significa che si avvierà automaticamente ad ogni riavvio. Altri dettagli tecnici si possono trovare qui.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: