(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Создан вирус, невидимый для антивирусов и Mac OS X

Источник: cnews

RAT-невидимка и база разрешений

Эксперт по безопасности Патрик Уордл (Patrick Wardle) обнаружил RAT-вредонос, который атакует компьютеры под управлением Mac OS X и умудряется оставаться невидимым для антивирусов. Помимо Mac OS, программа может атаковать Windows и Linux.

Речь идет о Coldroot RAT, которая способна выполнять, в том числе, функции кейлоггера. Ее установщик под Mac OS X маскируется под аудиодрайвер Apple com.apple.audio.driver2.app. При установке пользователю выводится запрос на разрешение, требующий ввода логина и пароля к MacOS. Таким образом, пользователи невольно сами способствуют установке вредоноса на компьютеры.

Уордл отметил, что файл com.apple.audio.driver2.app привлек его внимание наличием отсылки к TCC.db - локальной базе данных, которая отслеживает все установленные приложения и уровень их доступа к функциям операционной системы. Вытянув у пользователя локальные логин и пароль, RAT модифицирует TCC.db и пытается обеспечить себе возможность универсального доступа, так, чтобы перехватывать все сигналы от клавиатуры и мыши. А, возможно, и не только перехватывать.

Кейлоггер Coldroot атакует Mac OS X и прячется от антивирусов

"Представьте, как с помощью AppleScript можно посылать имитированные события от мыши через графику или напрямую взаимодействовать с файловой системой. Примером подобному был DropBox, который напрямую модифицировал базу разрешений (TCC.db) MacOS, содержащую список приложений с "универсальным доступом". С такими правами приложения могут взаимодействовать с пользовательским интерфейсом, другими приложениями и даже перехватывать события от клавиатуры (производить кейлоггинг). Прямое внесение изменений в базу данных позволяет обходить надоедливые системные предупреждения, которые обычно выводятся пользователю", - написал Уордл.

Попав в систему, RAT инсталлируется как "демон" запуска (launch daemon) Mac OS X и тем самым обеспечивает себе постоянное присутствие.

Некоторые подробности

Отмечается, что вредонос не срабатывает в последней к настоящему моменту версии Mac OS X High Sierra, поскольку в ней база TCC.db дополнительно защищена инструментов System Integrity Protection (SIP), предотвращающем несанкционированные изменения.

Статический анализ вредоноса показал весьма широкий диапазон возможностей: от создания, переименования и удаления файлов, папок и процессов, до скачивания и загрузки данных и удаленного администрирования.

Проблеме минимум год

По мнению Уордла, автором RAT является некий Coldzer0 - вирусописатель, который пытался продавать код Coldroot. На Github лежит черновая (и неполная) версия кода. Кроме того, Уордлу удалось найти демонстрационное видео, описывающее функции программы.

Coldroot продается на киберкриминальных площадках уже больше года (с 1 января 2017 г.). Черновик лежит на GitHub почти два года. Уордл отметил, что ни один из антивирусных движков VirusTotal не отмечает Coldroot как вредоносную программу.

"То, что этот код был широко доступен в течение года, но при этом антивирусные движки до сих пор не реагируют на Coldroot, - это очень странно," - говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Остается надеяться, что скоро ситуация изменится. Пока же пользователям рекомендуется с удвоенным вниманием отслеживать, какие программы запрашивают разрешения на установку в систему, и использовать фаерволлы, которые будут предупреждать о попытках устанавливать исходящие соединения с неизвестными удаленными серверами".



 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Дискуссии и обсуждения общего плана »
Написать редактору 
 Рекомендовать » Дата публикации: 22.02.2018 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
ZBrush 4R6 Win Commercial Single License ESD
SAP® Crystal Dashboard Design Departmental 2016 WIN INTL NUL
IBM DOMINO COLLABORATION EXPRESS AUTHORIZED USER LICENSE + SW SUBSCRIPTION & SUPPORT 12 MONTHS
IBM Domino Enterprise Server Processor Value Unit (PVU) Annual SW Subscription & Support Renewal
AutoCAD - mobile app Premium CLOUD Commercial New Single-user ELD Annual Subscription
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
eManual - электронные книги и техническая документация
Один день системного администратора
Утиль - лучший бесплатный софт для Windows
Краткие описания программ и ссылки на них
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Настройка меню "Пуск" Windows 7 при помощи реестра (3)
Скажите пожалуйста, а как можно закрепить ярлыки программ с помощью твиков реестра в левой части...
 
Помощь по MS Access (327)
Доброе время суток. Случайно оказался на этом сайте, искал статьи по OLAP. Вижу, что...
 
Русификация рамки IDEF0 BPWin4 (41)
Возможно ли русифицировать рамку диаграмм в BPWin4?
 
Как изменить шрифт Wordpad? (4)
Как изменить шрифт Wordpad по умолчанию? Там Таймс, а мне, допустим, Ариал нужен. Можно ли...
 
Проектирование курсовой работы в BPWin (32)
Здравствуйте.Подскажите пожалуйста где можно найти примерное проектирование курсовой работы...
 
 
 



    
rambler's top100 Rambler's Top100