Виявлено RAT-шкідливість, який атакує комп'ютери під керуванням Mac OS X, Windows та Linux і залишається невидимим для антивірусів
Створено вірус, невидимий для антивірусів та Mac OS X
Кросплатформний кейлоггер атакує Windows, Mac OS X та Linux. Жоден антивірус на нього досі не реагує, даремно, що програма з'явилася щонайменше рік тому. Чому — поки що не зрозуміло.
RAT-невидимка та база дозволів
Експерти з безпеки виявили RAT-шкідливість, який атакує комп'ютери під керуванням Mac OS X і примудряється залишатися невидимим для антивірусів. Крім Mac OS, програма може атакувати Windows та Linux.
Йдеться про Coldroot RAT, яка здатна виконувати, зокрема, функції кейлоггера. Її інсталятор під Mac OS X маскується під аудіодрайвер Apple com.apple.audio.driver2.app. Під час встановлення користувачеві виводиться запит на дозвіл, що вимагає введення логіну та пароля до MacOS. Таким чином, користувачі мимоволі самі сприяють встановлення шкідливих даних на комп'ютери.
Файл com.apple.audio.driver2.app привертає увагу наявністю відсилання до TCC.db — локальної бази даних, яка відстежує всі встановлені програми та рівень їх доступу до функцій операційної системи. Витягнувши у користувача локальні логін та пароль, RAT модифікує TCC.db і намагається забезпечити можливість універсального доступу, так, щоб перехоплювати всі сигнали від клавіатури і миші. А можливо, і не лише перехоплювати.
Уявіть, як за допомогою AppleScript можна надсилати імітовані події від миші через графіку або безпосередньо взаємодіяти з файловою системою. Прикладом такого був DropBox, який безпосередньо модифікував базу дозволів (TCC.db) MacOS, що містить список додатків з "універсальним доступом". З такими правами програми можуть взаємодіяти з інтерфейсом користувача, іншими програмами і навіть перехоплювати події від клавіатури (виробляти кейлоггінг). Пряме внесення змін до бази даних дозволяє оминати набридливі системні попередження, які зазвичай виводяться користувачеві.
Потрапивши в систему, RAT встановлюється як «демон» запуску (launch daemon) Mac OS X і тим самим забезпечує собі постійну присутність.
Деякі подробиці
Зазначається, що шкідливість не спрацьовує в останній зараз версії Mac OS X High Sierra, оскільки в ній база TCC.db додатково захищена інструментів System Integrity Protection (SIP), що запобігає несанкціонованим змінам.
Статичний аналіз шкідливості показав дуже широкий діапазон можливостей: від створення, перейменування та видалення файлів, папок і процесів, до скачування та завантаження даних та віддаленого адміністрування.
Проблемі щонайменше рік
Автором RAT є Coldzer0 — вірусописач, який намагався продавати код Coldroot. На Github лежить чорнова (і неповна) версія коду.
Coldroot продається на кіберкримінальних майданчиках вже більше року (з 1 січня 2017 р.). Чернетка лежить на GitHub майже два роки. Жоден з антивірусних двигунів VirusTotal не відзначає Coldroot як шкідливу програму.
