Coldroot é um Trojan de acesso remoto (RATO) que foi distribuído em máquinas MacOS sem ser detectado por algum tempo. Os pesquisadores afirmam que o malware é multiplataforma e que poderia inserir com sucesso um keylogger no MacOS antes do High Sierra. O objetivo do Coldroot é colher credenciais de sistemas comprometidos.
Detalhes técnicos do cavalo de Troia Coldroot de acesso remoto
O malware foi descoberto por Patrick Wardle da Digita Security. O pesquisador vem cobrindo, ataques mitigados “que procurou descartar ou evitar prompts de segurança da IU”, como abusar de AppleScript, envio de eventos simulados de mouse por meio de gráficos centrais, ou mesmo interagindo com o sistema de arquivos.
Um exemplo deste último foi o DropBox, que modificou diretamente o banco de dados de privacidade do macOS’ (TCC.db) que contém a lista de aplicativos que são permitidos "acessibilidade’ direitos. Com tais direitos, os aplicativos podem interagir com as IUs do sistema, outras aplicações, e até mesmo interceptar eventos importantes (i.e. keylogging). Modificando diretamente o banco de dados, um poderia evitar o alerta de sistema desagradável que normalmente é apresentado ao usuário.
A Apple já atenuou esse ataque usando Proteção de Integridade do Sistema, vários keyloggers do macOS ainda estão tentando aproveitá-lo. É por isso que o pesquisador decidiu analisar um desses keylogger.
A amostra do Coldroot RAT que ele examinou não tem sinal. Pelo visto, a ferramenta em si está à venda em mercados subterrâneos desde janeiro, 2017. além do que, além do mais, versões do código de malware estão disponíveis no GitHub há dois anos.
quando ativado, faz mudanças no sistema banco de dados de privacidade chamado TCC.db, que é projetado para manter uma lista de aplicativos e seus níveis de direitos de acessibilidade. “Com tais direitos, os aplicativos podem interagir com as IUs do sistema, outras aplicações, e até mesmo interceptar eventos importantes (i.e. keylogging). Modificando diretamente o banco de dados, um poderia evitar o alerta de sistema desagradável que normalmente é apresentado ao usuário,”Disse o pesquisador.
além disso, Coldroot se disfarça como um driver de áudio da Apple – com.apple.audio.driver2.app. quando clicado, mostraria um prompt de autenticação padrão pedindo ao usuário para inserir suas credenciais do macOS. Uma vez que a potencial vítima é enganada, o RAT modificaria o banco de dados de privacidade TCC.db, permitindo-se direitos de acessibilidade e keylogging de todo o sistema.
Coldroot pode ser persistente em um sistema, instalando-se como um demônio de inicialização, o que significa que ele iniciará automaticamente a cada reinicialização. Mais detalhes técnicos que você pode encontrar aqui.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: