Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperta versione del trojan Coldroot mascherata da driver audio per macOS

apple  Coldroot  keylogger  RAT   mercoledì, 21 febbraio 2018

Coldroot è un trojan per i sistemi Apple macOS con funzioni di RAT (Remote Access Tool) e keylogger. Nonostante il fatto che una versione open source di questo malware sia disponibile da circa due anni su GitHub, nessun antivirus era in grado di riconoscerlo come una minaccia, almeno fino a quando il ricercatore di sicurezza Patrick Wardle non ne ha analizzato un campione recentemente caricato su Virus Total.

Stando a quanto riportato da Wardle nell’analisi dettagliata pubblicata sul blog Digita Security, il trojan, battezzato OSX/Coldroot dal ricercatore, si presenta all’utente mascherato da documento apparentemente innocuo che in realtà nasconde un’applicazione che è, di fatto, una versione evoluta di Coldroot. Il file in questione è chiamato com.apple.audio.driver2.app e presenta l’icona normalmente associata da macOS ai documenti generici. Si noti che, a seconda di come è configurato il sistema, l’estensione “.app” potrebbe risultare nascosta.

Una volta lanciata, l’applicazione richiede di inserire le credenziali di utente mediante un dialogo standard di autenticazione (vedi immagine).

Dialogo di autenticazione di Coldroot

Se l’utente acconsente incautamente a rivelare la propria password al trojan, il dialogo viene chiuso e l’applicazione malevola non effettua nessun’altra azione visibile. In realtà, il trojan utilizza le credenziali dell’utente per effettuare in background le seguenti azioni malevole con privilegi elevati:

  • si registra come LaunchDaemon per poter divenire persistente ed essere lanciato automaticamente ad ogni avvio del sistema con i privilegi di root;
  • tenta di ottenere le autorizzazioni per accedere alle funzioni per l’accessibilità modificando il database di sistema TCC.db (funziona solo in versioni di macOS precedenti alla v10.12 Sierra).

Una volta ottenuti i privilegi di root e l’accesso alle funzioni per l’accessibilità, Coldroot attiva un keylogger persistente che intercetta tutti tasti premuti sulla tastiera del Mac e li registra in un file. Successivamente, il trojan si connette ad un server C&C remoto da cui ricevere comandi e a cui inviare le informazioni catturate dalla macchina infetta.

Dall’analisi del codice effettuata dal ricercatore, si evince che il trojan è in grado di rispondere ai seguenti comandi ricevuti dal server remoto:

  • file/directory list (ottieni la lista dei file e delle directory presenti sul file system);
  • file/directory rename (rinomina un file o una directory);
  • file/directory delete (rinomina un file o una directory);
  • process list (ottieni la lista dei processi attivi);
  • process execute (esegui un processo);
  • process kill (interrompi un processo);
  • download (scarica un file sulla macchina infetta);
  • upload (carica sul server un file dalla macchina infetta);
  • get active window (ottieni la finestra attiva);
  • remote desktop (inizia u8na sessione di controllo remoto del desktop);
  • shutdown (spegni la macchina);

Sulla base di indizi scoperti durante l’analisi, Wardle ritiene che l’autore di questa versione di Coldroot si nasconda sotto lo pseudonimo “Coldzer0” e che il malware sia un’evoluzione del codice originale reperibile su GitHub. Inoltre, un video “promozionale” caricato su YouTube presumibilmente dall’autore del malware (ora rimosso), rivelerebbe come Coldroot sia stato trasformato in un vero e proprio RAT multi-piattaforma in grado di infettare le tre principali piattaforme operative: Linux, macOS e Windows. Sembra inoltre plausibile che l’autore intenda mettere in vendita la propria creazione su Internet, anche se, nel suo stato attuale il malware non è in grado di fare danni sulla versione più recente di macOS (v10.13 High Sierra).

Al momento non si hanno informazioni sui possibili vettori di infezione di OSX/Coldroot. Ad ogni modo, si raccomanda di installare e mantenere aggiornata una soluzione antivirus sul proprio sistema. Fortunatamente, il tasso di rilevazione di questa minaccia da parte dei più diffusi antivirus risulta ora abbastanza elevato.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Apple (7 febbraio 2019)

8 febbraio 2019

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS e Shortcuts per iOS.Leggi tutto

Aggiornamenti di sicurezza per prodotti Apple (22 gennaio 2019)

23 gennaio 2019

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, watchOS, tvOS, Safari e iCloud per Windows.Leggi tutto

Aggiornamenti di sicurezza per prodotti Apple (5 dicembre 2018)

6 dicembre 2018

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, tvOS, Safari, iTunes per Windows, iCloud per Windows e Shortcuts per iOS.Leggi tutto