Patrick Wardle è un ricercatore di sicurezza di Digita Security: da oltre un anno sta studiando il trojan per Mac Coldroot, che pare a tutt'oggi invisibile agli antivirus.
Wardle si è imbattuto in questo trojan studiando TCC.db, un database del sistema operativo Apple molto appetitoso per i cyber criminali: solitamente è bersaglio di keylogger che puntano a sottrarre informazioni. TCC.db è infatti un database molto particolare, che contiene le informazioni più sensibili ospitate nel sistema e che è stato recentemente protetto attraverso una specifica funzione di sicurezza, la "System Integrity Protection (SIP), introdotta con OS X El Capitan. Le versioni precedenti restano però vulnerabili ad attacchi contro TCC.db.
Le ricerche di Wardle...
L'applicazione dannosa
Ulteriori analisi del funzionamento dell'app, hanno dimostrato che Wardle aveva visto giusto. Coldroot, al momento dell'esecuzione, visualizza una finestra che chiede l'inserimento delle credenziali degli utenti. Una volta completato l'accesso, questa finestra si chiude: l'utente non visualizza alcun evidente cambiamento. In realtà, con questo passaggio, il malware si garantisce la persistenza sul sistema: si è infatti registrato sotto forma di daemon sul Mac a livello di utente root, così si auto avvia ad ogni accensione del computer.
Il keylogger
Coldroot è appunto un keylogger: registra in remoto tutto ciò che viene digitato sul computer dall'utente. Il trojan stabilisce un contatto col proprio server Command e Control e comincia ad inviare le informazioni sottratte. Tramite il server C&C gli attaccanti possono non solo raccogliere le informazioni, ma inviare al trojan comandi da remoto per eseguire ulteriori azioni dannose.
Coldroot è appunto un keylogger: registra in remoto tutto ciò che viene digitato sul computer dall'utente. Il trojan stabilisce un contatto col proprio server Command e Control e comincia ad inviare le informazioni sottratte. Tramite il server C&C gli attaccanti possono non solo raccogliere le informazioni, ma inviare al trojan comandi da remoto per eseguire ulteriori azioni dannose.
Fonte: securityinfo.it |
Nel dettaglio Coldroot può eseguire una quantità enorme di azioni: scaricare o caricare file, cancellare o rinominare file, avviare i servizi di Desktop Remoto, spegnere il computer, chiudere processi, eseguire processi e così via...
Wardle ha rintracciato su GitHub una parte considerevole del codice sorgente di Coldroot, pubblicato nel Gennaio 2017.
Coldroot e gli antivirus:
come detto le versioni più recenti di macOS sono immuni a questo tipo di attacco grazie alla protezione ad hoc introdotta da Apple. La domanda però non è invalidata: come è possibile che un trojan che sfrutta una vulnerabilità conosciuta e il cui codice sorgente è disponibile a chiunque online non venga riconosciuto come pericoloso dalla quasi totalità degli antivirus?
Al solito, la soluzione, è affidarsi ai sistemi operativi più recenti.
Nessun commento:
Posta un commento