Обнаружен RAT-вредонос, который атакует компьютеры под управлением Mac OS X, Windows и Linux и остается невидимым для антивирусов
Создан вирус, невидимый для антивирусов и Mac OS X
Кроссплатформенный кейлоггер атакует Windows, Mac OS X и Linux. Ни один антивирус на него до сих пор не реагирует, даром, что программа появилась минимум год назад. Почему — пока не ясно.
RAT-невидимка и база разрешений
Эксперты по безопасности обнаружили RAT-вредонос, который атакует компьютеры под управлением Mac OS X и умудряется оставаться невидимым для антивирусов. Помимо Mac OS, программа может атаковать Windows и Linux.
Речь идет о Coldroot RAT, которая способна выполнять, в том числе, функции кейлоггера. Ее установщик под Mac OS X маскируется под аудиодрайвер Apple com.apple.audio.driver2.app. При установке пользователю выводится запрос на разрешение, требующий ввода логина и пароля к MacOS. Таким образом, пользователи невольно сами способствуют установке вредоноса на компьютеры.
Файл com.apple.audio.driver2.app привлекает внимание наличием отсылки к TCC.db — локальной базе данных, которая отслеживает все установленные приложения и уровень их доступа к функциям операционной системы. Вытянув у пользователя локальные логин и пароль, RAT модифицирует TCC.db и пытается обеспечить себе возможность универсального доступа, так, чтобы перехватывать все сигналы от клавиатуры и мыши. А, возможно, и не только перехватывать.
Представьте, как с помощью AppleScript можно посылать имитированные события от мыши через графику или напрямую взаимодействовать с файловой системой. Примером подобному был DropBox, который напрямую модифицировал базу разрешений (TCC.db) MacOS, содержащую список приложений с "универсальным доступом". С такими правами приложения могут взаимодействовать с пользовательским интерфейсом, другими приложениями и даже перехватывать события от клавиатуры (производить кейлоггинг). Прямое внесение изменений в базу данных позволяет обходить надоедливые системные предупреждения, которые обычно выводятся пользователю.
Попав в систему, RAT инсталлируется как «демон» запуска (launch daemon) Mac OS X и тем самым обеспечивает себе постоянное присутствие.
Некоторые подробности
Отмечается, что вредонос не срабатывает в последней к настоящему моменту версии Mac OS X High Sierra, поскольку в ней база TCC.db дополнительно защищена инструментов System Integrity Protection (SIP), предотвращающем несанкционированные изменения.
Статический анализ вредоноса показал весьма широкий диапазон возможностей: от создания, переименования и удаления файлов, папок и процессов, до скачивания и загрузки данных и удаленного администрирования.
Проблеме минимум год
Автором RAT является некий Coldzer0 — вирусописатель, который пытался продавать код Coldroot. На Github лежит черновая (и неполная) версия кода.
Coldroot продается на киберкриминальных площадках уже больше года (с 1 января 2017 г.). Черновик лежит на GitHub почти два года. Ни один из антивирусных движков VirusTotal не отмечает Coldroot как вредоносную программу.