Coldrootはリモートアクセス型トロイの木馬です (ねずみ) かなり長い間検出されずにMacOSマシンに配布された. 研究者によると、このマルウェアはクロスプラットフォームであり、HighSierraより前のMacOSにキーロガーを正常にドロップできる可能性があります。. Coldrootの目的は、侵害されたシステムから資格情報を収集することです.
コールドルートリモートアクセストロイの木馬技術的な詳細
このマルウェアは、DigitaSecurityのPatrickWardleによって発見されました。. 研究者は古いものをカバーしています, 軽減された攻撃「UIセキュリティプロンプトを却下または回避しようとした」, AppleScriptの悪用など, コアグラフィックスを介してシミュレートされたマウスイベントを送信する, またはファイルシステムとの対話さえ.
後者の例はDropBoxでした, macOSのプライバシーデータベースを直接変更した’ (TCC.db) これには、アクセシビリティが提供されているアプリケーションのリストが含まれています。’ 権利. そのような権利を持って, その後、アプリケーションはシステムUIと対話できます, 他のアプリケーション, 重要なイベントを傍受することもできます (すなわち. キーロガー). データベースを直接変更する, 通常ユーザーに表示される不快なシステムアラートを回避できます.
Appleはすでにこの攻撃を使用して軽減しています システム整合性保護, いくつかのmacOSキーロガーはまだそれを活用しようとしています. そのため、研究者はそのようなキーロガーの1つを分析することにしました。.
彼が調べたColdrootRATのサンプルは署名されていません. どうやら, ツール自体は1月から地下市場で販売されています, 2017. 加えて, マルウェアコードのバージョンは、GitHubで2年間利用可能です.
起動すると, システムに変更を加えます TCC.dbと呼ばれるプライバシーデータベース, これは、アプリのリストとそのアクセシビリティ権限のレベルを維持するように設計されています. 「「そのような権利を持って, その後、アプリケーションはシステムUIと対話できます, 他のアプリケーション, 重要なイベントを傍受することもできます (すなわち. キーロガー). データベースを直接変更する, 通常ユーザーに表示される不快なシステムアラートを回避できます,」研究者は言った.
さらに, ColdrootはAppleオーディオドライバーに変装します – com.apple.audio.driver2.app. クリックすると, ユーザーにmacOSクレデンシャルの入力を求める標準の認証プロンプトが表示されます. 潜在的な犠牲者がだまされたら, RATはプライバシーTCC.dbデータベースを変更し、それ自体にアクセシビリティ権限とシステム全体のキーロガーを許可します.
Coldrootは、起動デーモンとして自分自身をインストールすることにより、システム上で永続化できます, つまり、再起動するたびに自動的に起動します. あなたが見つけることができるより多くの技術的な詳細 ここ.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: