Исследователи предупреждают пользователей macOS об активности трояна удаленного доступа Coldroot (RAT), который не могут определить антивирусные сканеры. Кросс-платформенный RAT способен внедрить клавиатурный шпион в системы macOS вплоть до версии High Sierra с целью кражи банковских реквизитов.

Выследил Coldroot главный директор по исследованиям в Digita Security, Патрик Уордл (Patrick Wardle). В субботу он опубликовал техническое описание RAT, в котором предположил, что зловред появился в продаже на теневых рынках еще 1 января 2017 года. Более того, различные вариации кода Coldroot почти два года находились на GitHub.

Препарированный Уордлом экземпляр RAT не имел подписи и при запуске изменял базу данных TCC.db в macOS, хранящую список приложений и соответствующие им права доступа. «С полными правами приложения могут взаимодействовать с системным интерфейсом, другими программами и даже перехватывать нажатия клавиш (действовать как клавиатурный шпион). Напрямую изменив базу данных, злоумышленник избавляется от назойливого системного уведомления, которое обычно видит пользователь», — написал Уордл.

По словам автора, RAT выдает себя за аудиодрайвер Apple com.apple.audio.driver2.app, который при активации выводит стандартное окно аутентификации для ввода учетных данных macOS. Пользователь вводит свои данные, после чего RAT модифицирует базу данных TCC.db и наделяет себя достаточными правами, чтобы перехватывать ввод с клавиатуры в любом уголке системы.

Исследователь подчеркнул, что в macOS High Sierra купертинцы спрятали базу TCC.db под крылом защиты целостности системы (SIP). «Несмотря на то что скрипт Coldroot выполняется с root-правами, ему ничего не светит на новых версиях macOS (после Sierra), где эта база данных находится под защитой SIP», — написал автор.

Coldroot закрепляется в системе macOS как демон запуска, то есть зловред автоматически запускается после каждого перезапуска зараженной системы.

«В дежурном режиме приложение автоматически передает сигнальные данные серверу. Хотя факт установления соединения сам по себе не говорит о вредоносной активности, зловреды нередко устроены так, чтобы периодически опрашивать командный сервер на наличие указаний», — отмечает Уордл.

«Когда зловред получает от сервера команду начать сеанс удаленного рабочего стола, он порождает новый поток REMOTEDESKTOPTHREAD. Фактически поток выполняется в цикле while (в ожидании команды stop remote desktop), захватывая и передавая снимки рабочего стола пользователя удаленному злоумышленнику», — выяснил исследователь.

Уордл полагает, что автор зловреда Coldzer0 начал тиражировать в сети сниппеты кода RAT с января 2017 года. Автор выставил RAT на продажу и предлагал покупателям заказные модификации. Также исследователь нашел ролик, в котором Coldzer0 рекламирует RAT как кросс-платформенный троян, пригодный для атаки на системы macOS, Windows и Linux.

Категории: Аналитика, Вредоносные программы, Кибероборона, Уязвимости