各大防病毒引擎均敗北：Mac惡意軟體Coldroot已法外逍遙兩年

安全公司Digita Security的首席研究員Patrick Wardle發現了一款被稱為「Coldroot」的惡意軟體，它是一種遠程訪問木馬（RAT）。儘管它在兩年前就已經被上傳到了GitHub，但到目前為止，它仍然無法被大多數防病毒引擎檢測到。

Coldroot是在2016年被上傳到Github的，並且被免費提供。而現在，事情似乎出現了一些變化，這款惡意軟體已經進入了主動分發階段。

Wardle表示，這個最新版本的Coldroot是他在一個非官方的蘋果音頻驅動程序（com.apple.audio.driver2.app）中發現的。惡意軟體偽裝成文檔，打開時會顯示需要用戶輸入帳號和密碼（MacOS憑證）以進行登錄的提示。一旦受害者提供憑證，惡意軟體會靜默地安裝並聯繫其命令和控制（C＆C）伺服器，以等待攻擊者的進一步指示。

惡意軟體會修改MacOS的隱私資料庫（TCC.db），這使得它能夠與系統組件交互，以獲取執行鍵盤記錄所需的訪問許可權。此外，Coldroot通過將自身安裝為啟動守護進程來管理受感染的系統。這樣，在每次打開受感染的計算機時，惡意代碼都會自行啟動。

一旦Coldroot被激活，它就可以進行屏幕截圖、實時遠程查看桌面、啟動和終止目標系統上的進程，並可以搜索、下載、上傳和執行文件。所有被竊取的數據都會發送到遠程Web面板，這與現在大多數RAT的工作方式類似。

Wardle指出，這是一個「功能齊全且目前無法被檢測出」的惡意軟體。自2017年1月1日以來，一個網名為「Coldzer0」，疑似Coldroot作者的人一直在暗網上推銷這款軟體。另外，根據Coldzer0 發布的廣告視頻來看，Coldroot是一款跨平台的惡意軟體，可針對基於MacOS、Linux和Windows的操作系統。

Wardle還指出，目前還不清楚Coldroot的這個新版本是否與兩年前上傳的版本相同，或者它是該惡意軟體的修改版本。雖然新版Coldroot中仍包含有其初始作者（Coldzer0）的詳細信息及聯繫方式，但這也很有可能是其他從GitHub上獲取代碼後對軟體進行改進的人留下的誤導線索，以避開安全研究人員的深入調查。

Wardle表示，該惡意軟體可能無法影響MacOS High Sierra等較新操作系統，因為系統TCC.db的安全性通過系統完整性保護（SIP）得到了保證。但他認為，惡意軟體的主動分發表明，黑客正在不斷嘗試加強對Mac的攻擊，Mac用戶最好還是能夠切換到使用最新版本的操作系統，以避免遭受此類惡意軟體的侵害。

本文由 黑客視界 綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！