Создан вирус, невидимый для антивирусов и Mac OS X

RAT-невидимка и базаразрешений Эксперт по безопасности ПатрикУордл (Patrick Wardle) обнаружил RAT-вредонос, который атакует компьютерыпод управлением Mac OS X и умудряется оставаться невидимым для антивирусов.Помимо Mac OS, программа может атаковать Windows и Linux. Речь идет о Coldroot RAT, которая способна выполнять, в томчисле, функции кейлоггера. Ее установщик под Mac OS X маскируется подаудиодрайвер Apple com.apple.audio.driver2.app. При установке пользователювыводится запрос на разрешение, требующий ввода логина и пароля к MacOS. Такимобразом, пользователи невольно сами способствуют установке вредоноса накомпьютеры. Уордл отметил, что файл com.apple.audio.driver2.app привлекего внимание наличием отсылки к TCC.db — локальной базе данных, котораяотслеживает все установленные приложения и уровень их доступа к функциямоперационной системы. Вытянув у пользователя локальные логин и пароль, RATмодифицирует TCC.db и пытается обеспечить себе возможность универсальногодоступа, так, чтобы перехватывать все сигналы от клавиатуры и мыши. А,возможно, и не только перехватывать. http://filearchive.cnews.ru/img/news/2018/02/22/virus600.jpg"> Кейлоггер Coldroot атакует Mac OS X и прячется от антивирусов «Представьте, как с помощью AppleScript можно посылатьимитированные события от мыши через графику или напрямую взаимодействовать сфайловой системой. Примером подобному был DropBox, который напрямуюмодифицировал базу разрешений (TCC.db) MacOS, содержащую список приложений с"универсальным доступом". С такими правами приложения могутвзаимодействовать с пользовательским интерфейсом, другими приложениями и дажеперехватывать события от клавиатуры (производить кейлоггинг). Прямое внесениеизменений в базу данных позволяет обходить надоедливые системныепредупреждения, которые обычно выводятся пользователю», — написал Уордл. Попав в систему, RAT инсталлируется как «демон» запуска(launch daemon) Mac OS X и тем самым обеспечивает себе постоянное присутствие. [b]Некоторые подробности[/b] Отмечается, что вредонос не срабатывает в последней кнастоящему моменту версии Mac OS X High Sierra, поскольку в ней база TCC.dbдополнительно защищена инструментов System Integrity Protection (SIP),предотвращающем несанкционированные изменения. Статический анализ вредоноса показал весьма широкий диапазонвозможностей: от создания, переименования и удаления файлов, папок и процессов,до скачивания и загрузки данных и удаленного администрирования. [b]Проблеме минимум год[/b] По мнению Уордла, автором RAT является некий Coldzer0 —вирусописатель, который пытался продавать код Coldroot. На Github лежитчерновая (и неполная) версия кода. Кроме того, Уордлу удалось найти демонстрационноевидео, описывающее функции программы. Coldroot продается на киберкриминальных площадках уже большегода (с 1 января 2017 г.). Черновик лежит на GitHub почти два года. Уордлотметил, что ни один из антивирусных движков VirusTotal не отмечает Coldrootкак вредоносную программу. «То, что этот код был широко доступен в течение года, но приэтом антивирусные движки до сих пор не реагируют на Coldroot, — это оченьстранно,» — говорит [b]Олег Галушкин[/b],эксперт по информационной безопасности компании SEC Consult Services. — Остаетсянадеяться, что скоро ситуация изменится. Пока же пользователям рекомендуется судвоенным вниманием отслеживать, какие программы запрашивают разрешения наустановку в систему, и использовать фаерволлы, которые будут предупреждать опопытках устанавливать исходящие соединения с неизвестными удаленными серверами».[img]http://filearchive.cnews.ru/img/news/2018/02/22/virus600.jpg"> Кейлоггер Coldroot атакует Mac OS X и прячется от антивирусов «Представьте, как с помощью AppleScript можно посылатьимитированные события от мыши через графику или напрямую взаимодействовать сфайловой системой. Примером подобному был DropBox, который напрямуюмодифицировал базу разрешений (TCC.db) MacOS, содержащую список приложений с"универсальным доступом". С такими правами приложения могутвзаимодействовать с пользовательским интерфейсом, другими приложениями и дажеперехватывать события от клавиатуры (производить кейлоггинг). Прямое внесениеизменений в базу данных позволяет обходить надоедливые системныепредупреждения, которые обычно выводятся пользователю», — написал Уордл. Попав в систему, RAT инсталлируется как «демон» запуска(launch daemon) Mac OS X и тем самым обеспечивает себе постоянное присутствие. Некоторые подробности Отмечается, что вредонос не срабатывает в последней кнастоящему моменту версии Mac OS X High Sierra, поскольку в ней база TCC.dbдополнительно защищена инструментов System Integrity Protection (SIP),предотвращающем несанкционированные изменения. Статический анализ вредоноса показал весьма широкий диапазонвозможностей: от создания, переименования и удаления файлов, папок и процессов,до скачивания и загрузки данных и удаленного администрирования. Проблеме минимум год По мнению Уордла, автором RAT является некий Coldzer0 —вирусописатель, который пытался продавать код Coldroot. На Github лежитчерновая (и неполная) версия кода. Кроме того, Уордлу удалось найти демонстрационноевидео, описывающее функции программы. Coldroot продается на киберкриминальных площадках уже большегода (с 1 января 2017 г.). Черновик лежит на GitHub почти два года. Уордлотметил, что ни один из антивирусных движков VirusTotal не отмечает Coldrootкак вредоносную программу. «То, что этот код был широко доступен в течение года, но приэтом антивирусные движки до сих пор не реагируют на Coldroot, — это оченьстранно,» — говорит Олег Галушкин,эксперт по информационной безопасности компании SEC Consult Services. — Остаетсянадеяться, что скоро ситуация изменится. Пока же пользователям рекомендуется судвоенным вниманием отслеживать, какие программы запрашивают разрешения наустановку в систему, и использовать фаерволлы, которые будут предупреждать опопытках устанавливать исходящие соединения с неизвестными удаленными серверами».