+38/044/257-2444
+38/067/502-3306
+38/050/370-3627
Новости

Обнаружен RAT-вредонос, который атакует компьютеры под управлением Mac OS X, Windows и Linux и остается невидимым для антивирусов

Создан вирус, невидимый для антивирусов и Mac OS X

Кроссплатформенный кейлоггер атакует Windows, Mac OS X и Linux. Ни один антивирус на него до сих пор не реагирует, даром, что программа появилась минимум год назад. Почему — пока не ясно.

RAT-невидимка и база разрешений

Эксперты по безопасности обнаружили RAT-вредонос, который атакует компьютеры под управлением Mac OS X и умудряется оставаться невидимым для антивирусов. Помимо Mac OS, программа может атаковать Windows и Linux.

Речь идет о Coldroot RAT, которая способна выполнять, в том числе, функции кейлоггера. Ее установщик под Mac OS X маскируется под аудиодрайвер Apple com.apple.audio.driver2.app. При установке пользователю выводится запрос на разрешение, требующий ввода логина и пароля к MacOS. Таким образом, пользователи невольно сами способствуют установке вредоноса на компьютеры.

Файл com.apple.audio.driver2.app привлекает внимание наличием отсылки к TCC.db — локальной базе данных, которая отслеживает все установленные приложения и уровень их доступа к функциям операционной системы. Вытянув у пользователя локальные логин и пароль, RAT модифицирует TCC.db и пытается обеспечить себе возможность универсального доступа, так, чтобы перехватывать все сигналы от клавиатуры и мыши. А, возможно, и не только перехватывать.

Представьте, как с помощью AppleScript можно посылать имитированные события от мыши через графику или напрямую взаимодействовать с файловой системой. Примером подобному был DropBox, который напрямую модифицировал базу разрешений (TCC.db) MacOS, содержащую список приложений с "универсальным доступом". С такими правами приложения могут взаимодействовать с пользовательским интерфейсом, другими приложениями и даже перехватывать события от клавиатуры (производить кейлоггинг). Прямое внесение изменений в базу данных позволяет обходить надоедливые системные предупреждения, которые обычно выводятся пользователю.

Попав в систему, RAT инсталлируется как «демон» запуска (launch daemon) Mac OS X и тем самым обеспечивает себе постоянное присутствие.

Некоторые подробности

Отмечается, что вредонос не срабатывает в последней к настоящему моменту версии Mac OS X High Sierra, поскольку в ней база TCC.db дополнительно защищена инструментов System Integrity Protection (SIP), предотвращающем несанкционированные изменения.

Статический анализ вредоноса показал весьма широкий диапазон возможностей: от создания, переименования и удаления файлов, папок и процессов, до скачивания и загрузки данных и удаленного администрирования.

Проблеме минимум год

Автором RAT является некий Coldzer0 — вирусописатель, который пытался продавать код Coldroot. На Github лежит черновая (и неполная) версия кода. 

Coldroot продается на киберкриминальных площадках уже больше года (с 1 января 2017 г.). Черновик лежит на GitHub почти два года. Ни один из антивирусных движков VirusTotal не отмечает Coldroot как вредоносную программу.

 

 

Другие новости