- Joined
- Jun 1, 2014
- Messages
- 284
- Reaction score
- 263
- Points
- 63
COLDROOT RAT. A two-year security hole in MacOS.
The two-year-old COLDROOT RAT, a remote access Trojan targeted at MacOS, is still undetectable.
The Trojan is cross-platform, and is capable of running on MacOS systems up to OS High Sierra versions. Apparently, the original malware was created by someone for fun in order to “play with Mac users” and “grant them rights in this [RAT] area”. But now the trojan has changed and works for Linux, macOS and Windows.
In turn, it can be designed to steal bank credentials and other information.
Malware still do not detect antivirus solutions.
Wardell sadly notes that the main problem is that Coldroot is still virtually undetectable by defensive solutions, although the source of the malware was published in the public domain almost two years ago. So, according to VirusTotal, the malware does not “see” any anti-virus solution.
Some interesting technical information
The RAT sample verified by Wardel is unsigned. When it starts, changes are made to the macOS privacy database called "TCC.db", which maintains a list of applications and the level of access rights that they have. With these rights, applications can interact with the user interfaces of the system, other applications, and even intercept key actions (i.e., lead keylogging ) "By directly modifying the database, you could avoid the unpleasant system alert that is usually provided to the user," Vardel wrote.
He said that the RAT is disguised as the Apple sound driver “com.apple.audio.driver2.app”. Next, when you click on it, it displays a standard authentication prompt prompting you to enter your MacOS credentials. Once enabled, RAT modifies the TCC.db privacy database, granting malware access rights to execute the system keylogging .
The researcher notes that on MacOS High Sierra systems, Apple now protects "TCC.db" through the System Integrity Protection System (SIP). He wrote: "The Coldroot RAT script will not be able to perform root actions in new versions of macOS (Sierra +), since the privacy database is now protected by SIP (ohm)."
Coldroot RAT remains consistent on MacOS, setting itself up as a daemon launch. This means that malware starts automatically every time the infected system is rebooted.
Vardel noted: “Behind the scenes, the application will automatically go to the server. While creating a network connection in itself is not malicious, it is a common tactic used by malware. In particular, for registration with the management server, and management to perform tasks. "
“When the malware receives a command from the server to start a remote desktop session, it generates a new thread called“ REMOTEDESKTOPTHREAD. ”It basically sits in the“ while ”loop (until the command“ stop the remote desktop ”is issued), taking and "Streaming" capturing the user's desktop screen for a remote attacker who infected a computer, "he notes.
Vardel also said that the author of the Coldzer0 malware has been providing RAT code snippets online since January 2017. He noted that the author advertised Coldroot for sale, and offered customers ways to configure malware. He notes that the video hosted by "Coldzer0" advertises Coldroot RAT as a cross platform and can be used to attack MacOS, Windows, and Linux.
Source @Kevin Mitnick
The two-year-old COLDROOT RAT, a remote access Trojan targeted at MacOS, is still undetectable.
The Trojan is cross-platform, and is capable of running on MacOS systems up to OS High Sierra versions. Apparently, the original malware was created by someone for fun in order to “play with Mac users” and “grant them rights in this [RAT] area”. But now the trojan has changed and works for Linux, macOS and Windows.
In turn, it can be designed to steal bank credentials and other information.
Coldroot RAT can initiate new remote desktop sessions, take screenshots of the victim, start and stop processes on the target system, search, download, download externally or execute arbitrary files. The malware sends all the collected data to a remote management server, where it is accessible through a web panel.
Coldroot RAT was found by researcher Patrick Wardell, chief researcher at Digital Security. According to him, malware seems to have been on the darknet market since January 1, 2017, and Coldroot code versions have also been available on GitHub for two years now.
Coldroot RAT was found by researcher Patrick Wardell, chief researcher at Digital Security. According to him, malware seems to have been on the darknet market since January 1, 2017, and Coldroot code versions have also been available on GitHub for two years now.
Malware still do not detect antivirus solutions.
Wardell sadly notes that the main problem is that Coldroot is still virtually undetectable by defensive solutions, although the source of the malware was published in the public domain almost two years ago. So, according to VirusTotal, the malware does not “see” any anti-virus solution.
Some interesting technical information
The RAT sample verified by Wardel is unsigned. When it starts, changes are made to the macOS privacy database called "TCC.db", which maintains a list of applications and the level of access rights that they have. With these rights, applications can interact with the user interfaces of the system, other applications, and even intercept key actions (i.e., lead keylogging ) "By directly modifying the database, you could avoid the unpleasant system alert that is usually provided to the user," Vardel wrote.
He said that the RAT is disguised as the Apple sound driver “com.apple.audio.driver2.app”. Next, when you click on it, it displays a standard authentication prompt prompting you to enter your MacOS credentials. Once enabled, RAT modifies the TCC.db privacy database, granting malware access rights to execute the system keylogging .
The researcher notes that on MacOS High Sierra systems, Apple now protects "TCC.db" through the System Integrity Protection System (SIP). He wrote: "The Coldroot RAT script will not be able to perform root actions in new versions of macOS (Sierra +), since the privacy database is now protected by SIP (ohm)."
Coldroot RAT remains consistent on MacOS, setting itself up as a daemon launch. This means that malware starts automatically every time the infected system is rebooted.
Vardel noted: “Behind the scenes, the application will automatically go to the server. While creating a network connection in itself is not malicious, it is a common tactic used by malware. In particular, for registration with the management server, and management to perform tasks. "
“When the malware receives a command from the server to start a remote desktop session, it generates a new thread called“ REMOTEDESKTOPTHREAD. ”It basically sits in the“ while ”loop (until the command“ stop the remote desktop ”is issued), taking and "Streaming" capturing the user's desktop screen for a remote attacker who infected a computer, "he notes.
Vardel also said that the author of the Coldzer0 malware has been providing RAT code snippets online since January 2017. He noted that the author advertised Coldroot for sale, and offered customers ways to configure malware. He notes that the video hosted by "Coldzer0" advertises Coldroot RAT as a cross platform and can be used to attack MacOS, Windows, and Linux.
Source @Kevin Mitnick
Original message
COLDROOT RAT. Двухгодичная "дыра" в безопасности MacOS.
Двухгодичный COLDROOT RAT, троян удаленного доступа нацеленный на MacOS, все еще не поддается обнаружению.
Троян является кросс-платформенным, и способен работать в системах MacOS до версий OS High Sierra. Судя по всему, исходно малварь была создана кем-то шутки ради, чтобы «поиграть с пользователями Mac» и «предоставить им права в этой [RAT] области». Но теперь троян изменился и работает для Linux, macOS и Windows.
В свою очередь, может быть предназначен для кражи банковских учетных данных и другой информации.
Малварь до сих пор не обнаруживают антивирусные решения.
Варделл с грустью отмечает, что основная проблема заключается в том, что Coldroot до сих пор практически не обнаруживается защитными решениями, хотя исходники вредоноса и были опубликованы в открытом доступе почти два года тому назад. Так, согласно VirusTotal, малварь «не видит» ни одно антивирусное решение.
Немного интересной технической информации
Образец RAT, проверенный Вардел, не имеет подписи. При его запуске, вносятся изменения в базу данных конфиденциальности macOS под названием "TCC.db", которая поддерживает список приложений и уровень прав доступа, которыми они обладают. С такими правами, приложения могут взаимодействовать с пользовательскими интерфейсами системы, другими приложениями и даже перехватывать ключевые действия (т. е. вести кейлоггинг). "Путем непосредственной модификации базы данных, можно было избежать неприятного системного оповещения, которое обычно предоставляется пользователю", - писал Вардел.
Он сообщил, что RAT маскируется как звуковой драйвер Apple «com.apple.audio.driver2.app». Далее, при нажатии на него, отображает стандартную подсказку для проверки подлинности, запрашивающая цель ввести свои учетные данные MacOS. После включения, RAT изменяет базу данных конфиденциальности "TCC.db", предоставляя права доступа к вредоносным программам для выполнения системного кейлогинга.
Исследователь отмечает, что в системах MacOS High Sierra, Apple теперь защищает "TCC.db" через систему защиты целостности системы (SIP). Он написал: «Cкрипту Coldroot RAT не удастся выполнить root действия, в новых версиях macOS (Sierra +), поскольку база данных конфиденциальности теперь защищена SIP(ом)».
Coldroot RAT сохраняет постоянство в системах MacOS, устанавливая себя как daemon-запуск. Это означает, что вредоносное ПО запускается автоматически при каждом перезагрузке зараженной системы.
Вардел отметил: «За кулисами приложение автоматически выйдет на сервер. В то время как создание сетевого соединения само по себе не является вредоносным, это обычная тактика, используемая вредоносными программами. В частности, для регистрации с сервером управления, и управления для выполнения задач».
"Когда вредоносное ПО получает команду от сервера для запуска сеанса удаленного рабочего стола, он генерирует новый поток с именем "REMOTEDESKTOPTHREAD". Он в основном сидит в цикле "while" (пока не выдается команда: "остановить удаленный рабочий стол"), взяв и "потоковый" захват экрана рабочего стола пользователя для удаленного злоумышленника, который заразил компьютер", - отмечает он.
Вардел также сообщил, что автор вредоносного ПО "Coldzer0", предоставляет фрагменты кода RAT онлайн, начиная с января 2017 года. Он отметил, что автор рекламировал Coldroot для продажи, и предлагал покупателям способы настроить вредоносное ПО. Он отмечает, что видео, размещенное "Coldzer0", рекламирует Coldroot RAT как кросс платформу и может использоваться для атаки на системы MacOS, Windows и Linux.
Источник @Kevin Mitnick
Двухгодичный COLDROOT RAT, троян удаленного доступа нацеленный на MacOS, все еще не поддается обнаружению.
Троян является кросс-платформенным, и способен работать в системах MacOS до версий OS High Sierra. Судя по всему, исходно малварь была создана кем-то шутки ради, чтобы «поиграть с пользователями Mac» и «предоставить им права в этой [RAT] области». Но теперь троян изменился и работает для Linux, macOS и Windows.
В свою очередь, может быть предназначен для кражи банковских учетных данных и другой информации.
Coldroot RAT может инициировать новые сессии удаленного рабочего стола, делать снимки экрана жертвы, запускать и останавливать процессы в целевой системе, искать, скачивать, загружать вовне или выполнять произвольные файлы. Все собранные данные малварь отправляет на удаленный управляющий сервер, где они доступны через веб-панель.
Coldroot RAT был найден исследователем Патриком Варделом, главным исследователем Digital Security. По его словам, вредоносное ПО, похоже, продается на рынках даркнета с 1 января 2017 года, а версии кода Coldroot также доступны на GitHub уже два года.
Coldroot RAT был найден исследователем Патриком Варделом, главным исследователем Digital Security. По его словам, вредоносное ПО, похоже, продается на рынках даркнета с 1 января 2017 года, а версии кода Coldroot также доступны на GitHub уже два года.
Малварь до сих пор не обнаруживают антивирусные решения.
Варделл с грустью отмечает, что основная проблема заключается в том, что Coldroot до сих пор практически не обнаруживается защитными решениями, хотя исходники вредоноса и были опубликованы в открытом доступе почти два года тому назад. Так, согласно VirusTotal, малварь «не видит» ни одно антивирусное решение.
Немного интересной технической информации
Образец RAT, проверенный Вардел, не имеет подписи. При его запуске, вносятся изменения в базу данных конфиденциальности macOS под названием "TCC.db", которая поддерживает список приложений и уровень прав доступа, которыми они обладают. С такими правами, приложения могут взаимодействовать с пользовательскими интерфейсами системы, другими приложениями и даже перехватывать ключевые действия (т. е. вести кейлоггинг). "Путем непосредственной модификации базы данных, можно было избежать неприятного системного оповещения, которое обычно предоставляется пользователю", - писал Вардел.
Он сообщил, что RAT маскируется как звуковой драйвер Apple «com.apple.audio.driver2.app». Далее, при нажатии на него, отображает стандартную подсказку для проверки подлинности, запрашивающая цель ввести свои учетные данные MacOS. После включения, RAT изменяет базу данных конфиденциальности "TCC.db", предоставляя права доступа к вредоносным программам для выполнения системного кейлогинга.
Исследователь отмечает, что в системах MacOS High Sierra, Apple теперь защищает "TCC.db" через систему защиты целостности системы (SIP). Он написал: «Cкрипту Coldroot RAT не удастся выполнить root действия, в новых версиях macOS (Sierra +), поскольку база данных конфиденциальности теперь защищена SIP(ом)».
Coldroot RAT сохраняет постоянство в системах MacOS, устанавливая себя как daemon-запуск. Это означает, что вредоносное ПО запускается автоматически при каждом перезагрузке зараженной системы.
Вардел отметил: «За кулисами приложение автоматически выйдет на сервер. В то время как создание сетевого соединения само по себе не является вредоносным, это обычная тактика, используемая вредоносными программами. В частности, для регистрации с сервером управления, и управления для выполнения задач».
"Когда вредоносное ПО получает команду от сервера для запуска сеанса удаленного рабочего стола, он генерирует новый поток с именем "REMOTEDESKTOPTHREAD". Он в основном сидит в цикле "while" (пока не выдается команда: "остановить удаленный рабочий стол"), взяв и "потоковый" захват экрана рабочего стола пользователя для удаленного злоумышленника, который заразил компьютер", - отмечает он.
Вардел также сообщил, что автор вредоносного ПО "Coldzer0", предоставляет фрагменты кода RAT онлайн, начиная с января 2017 года. Он отметил, что автор рекламировал Coldroot для продажи, и предлагал покупателям способы настроить вредоносное ПО. Он отмечает, что видео, размещенное "Coldzer0", рекламирует Coldroot RAT как кросс платформу и может использоваться для атаки на системы MacOS, Windows и Linux.
Источник @Kevin Mitnick