Coldroot is een remote access Trojan (RAT) die is verdeeld over MacOS machines zonder te worden ontdekt al geruime tijd. Onderzoekers zeggen dat de malware is cross-platform en dat het met succes een keylogger op MacOS voorafgaand aan de High Sierra kan dalen. Coldroot's doel is om de geloofsbrieven van gecompromitteerde systemen oogst.
Coldroot Remote Access Trojan Technische Details
De malware werd ontdekt door Patrick Wardle van Digita Beveiliging. De onderzoeker is die oudere, verzacht aanvallen “die tot doel had te ontslaan of te vermijden UI beveiligingsprompts", zoals misbruik AppleScript, verzenden gesimuleerde muisbewegingen via core grafische, of interactie met het bestandssysteem.
Een voorbeeld hiervan was DropBox, die direct gemodificeerd MacOS's ‘privacy-database’ (TCC.db) die de lijst van toepassingen die worden geboden bevat toegankelijkheid’ rechten. Met dergelijke rechten, toepassingen kan vervolgens communiceren met het systeem UI, andere applicaties, en zelfs onderscheppen belangrijke gebeurtenissen (dat wil zeggen. keylogging). Door het direct wijzigen van de database, men kon voorkomen dat de onaangename systeem waarschuwing die normaal wordt gepresenteerd aan de gebruiker.
Apple heeft al deze aanval verzacht door het gebruik van Systeemintegriteit Protection, meerdere MacOS keyloggers zijn nog steeds probeert om het hefboomeffect. Dat is de reden waarom de onderzoeker besloten om een dergelijke keylogger analyseren.
Het monster van het Coldroot RAT hij onderzocht is unsigned. Blijkbaar, het gereedschap zelf is te koop op de ondergrondse markten aangeboden sinds januari, 2017. Bovendien, versies van de malware code zijn beschikbaar op GitHub voor twee jaar.
Wanneer geactiveerd, het maakt wijzigingen in het systeem van privacy database genaamd TCC.db, die is ontworpen om een lijst van apps en hun mate van toegankelijkheid rechten behouden. "Met dergelijke rechten, toepassingen kan vervolgens communiceren met het systeem UI, andere applicaties, en zelfs onderscheppen belangrijke gebeurtenissen (dat wil zeggen. keylogging). Door het direct wijzigen van de database, men kon voorkomen dat de onaangename systeem waarschuwing die normaal wordt gepresenteerd aan de gebruiker,”Zei de onderzoeker.
Bovendien, Coldroot vermomt als een Apple audio driver – com.apple.audio.driver2.app. wanneer erop wordt geklikt, het zou een standaard authenticatie prompt tonen vraagt de gebruiker om hun MacOS referenties invoeren. Zodra het potentieel slachtoffer wordt misleid, De rat zou de privacy TCC.db databank aan te passen zodat zich toegankelijkheid rechten en het hele systeem keylogging.
Coldroot kunnen hardnekkig zijn op een systeem op zichzelf te installeren als een lancering demon, wat betekent dat het automatisch gestart bij elke herstart. Meer technische informatie kunt u vinden hier.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: