امروز: یکشنبه، 28 مرداد 1397

پژوهش‌گران درباره‌ی تروجان دسترسی از راه دور Coldroot هشدار می‌دهند که به وسیله‌ی موتورهای ضد بدافزار شناسایی نمی‌شود و MacOS را هدف قرار می‌دهد. این تروجان دسترسی از راه دور چند سکویی است و قادر است در سامانه‌های MacOS قبل از OS High Sierra یک کی‌لاگر راه‌اندازی کند، همچنین برای سرقت گواهی‌نامه‌های بانکی طراحی شده است.


 

تروجان Colroot توسط پژوهشگر Digital Security به نام پاتریک واردل کشف شد که روز شنبه یک شرح فنی کامل در مورد این تروجان منتشر کرد. وی گفت، به نظر می‌رسد این بدافزار از تاریخ ۱ ژانویه سال ۲۰۱۷ میلادی در بازارهای مخفی به فروش رسیده است و نسخه‌های دیگر کد Coldroot نیز از ۲ سال پیش در GitHub در دسترس قرار گرفته است.

 

نمونه‌ای از این بدافزار که توسط واردل مورد آزمایش قرار گرفت بدون امضاء است و زمانی که شروع به کار می‌کند، در پایگاه‌داده‌ی حریم خصوصی macOS به نام TCC.db که فهرستی از برنامه‌ها و مجوزهای سطح دسترسی آن‌ها را نگه‌داری‌می‌کند، تغییراتی ایجاد می‌کند. واردل نوشت: «با این مجوزها، برنامه‌ها می‌توانند با رابط کاربری سامانه و سایر برنامه‌ها تعامل برقرار کنند، و حتی رویدادهای مربوط به کلیدها را دریافت کنند. با تغییر مستقیم پایگاه‌داده، می‌توان از هشدار مضر سامانه که به طور معمول برای کاربر نمایش داده می‌شود، جلوگیری کرد.»

وی گفت که این تروجان دسترسی از راه دور به عنوان یک گرداننده‌ی صوتی اپل «com.apple.audio.driver۲.app» تغییر شکل می‌دهد که هنگام کلیک، یک پیام احراز هویت استاندارد نمایش می‌دهد که از کاربر هدف درخواست می‌کند تا گواهی‌نامه‌های MacOS خود را وارد کند. هنگامی که این تروجان دسترسی از راه دور مشغول به کار شد، پایگاه‌داده‌ی حریم خصوصی TCC.db را تغییر می‌دهد، و مجوزهای دسترسی برای ثبت فشرده شدن کلیدهای سامانه را به این بدافزار می‌دهد.

این پژوهشگر خاطرنشان می‌کند که در سامانه‌های MacOS High Sierra، اپل به وسیله‌ی محافظت از یکپارچگی سامانه (SIP) از TCC.db محافظت می‌کند. وی نوشت: «هر چند این اسکریپت (Coldroot) به عنوان ریشه اجرا می‌شود، اما از آن‌جا که در نسخه‌های جدیدتر macOS،  پایگاه داده‌ی حریم خصوصی با SIP محافظت می‌شود، موفق به انجام این کار نمی‌شود.»

 

بدافزار Coldroot با نصب خود به عنوان برنامه‌ای که هنگام راه‌اندازی در پشت صحنه اجرا می‌شود، در سامانه‌های MacOS به پایداری می‌رسد، به این معنی که این بدافزار هر بار که سامانه‌ی آلوده مجدداً راه‌اندازی می‌شود، به طور خودکار اجرا می‌شود.

واردل نوشت: « این برنامه در پشت صحنه، به طور خودکار به یک کارگزار منتقل می‌شود. با این‌که ایجاد یک اتصال شبکه به خودی خود مخرب نیست، اما یک روش معمول است که این بدافزار به خصوص برای بررسی انجام وظایف با یک کارگزار فرمان و کنترل از آن استفاده می‌کند.»

وی نوشت: «هنگامی که این بدافزار دستور شروع یک نشست راه دور را از کارگزار دریافت می‌کند، یک رشته‌ی جدید به نام «REMOTEDESKTOPTHREAD» ایجاد می‌کند که در یک حلقه‌ی While قرار می‌گیرد، و تا زمانی که دستور stop remote desktop دریافت شود، اجرا می‌شود، و تصاویر صفحه نمایش رایانه‌ی کاربر را برای مهاجم راه دور ارسال می‌کند.»

واردل گفت به نظر می‌رسد که نویسنده‌ی این بدافزار قطعه‌هایی از کد این تروجان دسترسی از راه دور را از ماه ژانویه سال ۲۰۱۷ میلادی به صورت برخط ارائه داده است. او خاطرنشان کرد که نویسنده‌، این تروجان را برای فروش تبلیغ کرده است و برای سفارشی‌سازی کردن آن راه‌کارهایی برای خریداران ارائه داده است. ویدئویی که توسط نویسنده‌ی این تروجان منتشر شده است این تروجان دسترسی از راه دور را به عنوان یک تروجان چند سکویی (قابل اجرا در هر بستری) تبلیغ می‌کند و می‌تواند برای حمله به سامانه‌های MacOS و ویندوز و لینوکس مورد استفاده قرار گیرد.


منبع: news.asis.io