(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Создан вирус, невидимый для антивирусов и Mac OS X

Источник: cnews

RAT-невидимка и база разрешений

Эксперт по безопасности Патрик Уордл (Patrick Wardle) обнаружил RAT-вредонос, который атакует компьютеры под управлением Mac OS X и умудряется оставаться невидимым для антивирусов. Помимо Mac OS, программа может атаковать Windows и Linux.

Речь идет о Coldroot RAT, которая способна выполнять, в том числе, функции кейлоггера. Ее установщик под Mac OS X маскируется под аудиодрайвер Apple com.apple.audio.driver2.app. При установке пользователю выводится запрос на разрешение, требующий ввода логина и пароля к MacOS. Таким образом, пользователи невольно сами способствуют установке вредоноса на компьютеры.

Уордл отметил, что файл com.apple.audio.driver2.app привлек его внимание наличием отсылки к TCC.db - локальной базе данных, которая отслеживает все установленные приложения и уровень их доступа к функциям операционной системы. Вытянув у пользователя локальные логин и пароль, RAT модифицирует TCC.db и пытается обеспечить себе возможность универсального доступа, так, чтобы перехватывать все сигналы от клавиатуры и мыши. А, возможно, и не только перехватывать.

Кейлоггер Coldroot атакует Mac OS X и прячется от антивирусов

"Представьте, как с помощью AppleScript можно посылать имитированные события от мыши через графику или напрямую взаимодействовать с файловой системой. Примером подобному был DropBox, который напрямую модифицировал базу разрешений (TCC.db) MacOS, содержащую список приложений с "универсальным доступом". С такими правами приложения могут взаимодействовать с пользовательским интерфейсом, другими приложениями и даже перехватывать события от клавиатуры (производить кейлоггинг). Прямое внесение изменений в базу данных позволяет обходить надоедливые системные предупреждения, которые обычно выводятся пользователю", - написал Уордл.

Попав в систему, RAT инсталлируется как "демон" запуска (launch daemon) Mac OS X и тем самым обеспечивает себе постоянное присутствие.

Некоторые подробности

Отмечается, что вредонос не срабатывает в последней к настоящему моменту версии Mac OS X High Sierra, поскольку в ней база TCC.db дополнительно защищена инструментов System Integrity Protection (SIP), предотвращающем несанкционированные изменения.

Статический анализ вредоноса показал весьма широкий диапазон возможностей: от создания, переименования и удаления файлов, папок и процессов, до скачивания и загрузки данных и удаленного администрирования.

Проблеме минимум год

По мнению Уордла, автором RAT является некий Coldzer0 - вирусописатель, который пытался продавать код Coldroot. На Github лежит черновая (и неполная) версия кода. Кроме того, Уордлу удалось найти демонстрационное видео, описывающее функции программы.

Coldroot продается на киберкриминальных площадках уже больше года (с 1 января 2017 г.). Черновик лежит на GitHub почти два года. Уордл отметил, что ни один из антивирусных движков VirusTotal не отмечает Coldroot как вредоносную программу.

"То, что этот код был широко доступен в течение года, но при этом антивирусные движки до сих пор не реагируют на Coldroot, - это очень странно," - говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Остается надеяться, что скоро ситуация изменится. Пока же пользователям рекомендуется с удвоенным вниманием отслеживать, какие программы запрашивают разрешения на установку в систему, и использовать фаерволлы, которые будут предупреждать о попытках устанавливать исходящие соединения с неизвестными удаленными серверами".



 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Дискуссии и обсуждения общего плана »
Написать редактору 
 Рекомендовать » Дата публикации: 22.02.2018 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
go1984 Enterprise
Delphi 10.2 Tokyo Enterprise New User - Named ESD
Acronis Backup Advanced Server Subscription License, 1 Year
YourKit Profiler for .NET - Floating License - 1 year of e-mail support and upgrades
Avira Internet Security Suite, 1 ПК, 1 год
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
eManual - электронные книги и техническая документация
Один день системного администратора
Программирование на Visual С++
Краткие описания программ и ссылки на них
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Где можно найти «Пакет анализа» для Excel ? (56)
Коллеги, подскажите, где можно скачать надстройку к Excel под названием «Пакет анализа», после...
 
Как изменить шрифт Wordpad? (3)
Как изменить шрифт Wordpad по умолчанию? Там Таймс, а мне, допустим, Ариал нужен. Можно ли...
 
Русификация ERWin (28)
Здравствуйте! Используем версию ERwin 4.1 в сети,но при создании логической модели вместо...
 
применение CA Process Modeller (BPWin) и связь моделей BPWin и ErWin (1)
Не очень понятна связь прогр продуктов CA Process Modeller (BPWin) и CA Data Modeller...
 
Erwin 3.5.2 (6)
Где скачать или кто может поделиться прогой Erwin 3.5.2? И как открыть файл из 3.5.2 в Erwin...
 
 
 



    
rambler's top100 Rambler's Top100