‘Coldroot’ โทรจันที่ Antivirus ส่วนใหญ่ยังจับไม่ได้ปรับปรุงเทคนิคเล็งผู้ใช้ macOS

นาย Patrick Wardle หัวหน้านักวิจัยที่ Digita Security ได้ค้นพบ Remote Access Trojan (RAT) ที่ชื่อ Coldroot ถูกวางขายอยู่ภายในตลาดมืดตั้งแต่วันที่ 1 มกราคมปี 2017 ซึ่งมีโค้ดหลายเวอร์ชันปรากฏอยู่บน GitHub เกือบ 2 ปีมาแล้ว อีกทั้งปัจจุบันยังมีการปรับให้ใช้งานบน macOS ได้ด้วยเทคนิคที่ซับซ้อนมากขึ้น ที่สำคัญนักวิจัยได้เตือนว่า Antivirus ส่วนใหญ่ยังไม่สามารถตรวจจับได้

credit : Bleeping Computer

จากการทดลองของ Wardle พบว่า RAT สามารถใช้งานได้ทั้ง Windows Linux และ macOS โดยตัวอย่างไฟล์ RAT ที่ Wardle ทดสอบนั้นพยายามอ้างตัวเป็น ‘Apple Audio Driver’ แต่ความน่าสงสัยคือเมื่อตรวจสอบโดย What’s Your Sign มันไม่มีพบการถูกรับรองความน่าเชื่อถือและมีความพยายามไปอ้างถึง TCC.db โดยมันคือฐานข้อมูลที่เก็บรายชื่อของแอปพลิเคชันว่ามีสิทธิ์เข้าถึงอะไรได้บ้าง “หากแก้ไขฐานข้อมูลนี้ได้มันจะสามารถกำหนดการปฏิสัมพันธ์กับ UI ของระบบหรือแอปพลิเคชันอื่นได้ หรือแม้แต่การดักจับคีย์ (Kerlogger) ซึ่งการแก้ไขฐานข้อมูลโดยตรงนี้จะสามารถหลบเลี่ยงการแจ้งเตือนของระบบต่อผู้ใช้งานได้“–“Wardle กล่าว

credit : digitasecurity.com

สิ่งที่ RAT ตัวนี้ทำคือพยายามอ้างตัวเป็น Driver ‘com.apple.audio.driver2.app’ ซึ่งถ้าถูกคลิกมันจะแสดงหน้าต่างร้องขอการพิสูจน์ตัวตนของ MacOS Credentials หากผู้ใช้หลงเชื่อมันจะสามารถเข้าไปแก้ไข TCC.db และแสดงความสามารถดักจับแป้นพิมพ์ต่อไปได้ อย่างไรก็ตาม MacOS High Sierra เวอร์ชันปัจจุบันมีการป้องกัน TCC.db ด้วย System Integrity Protection (SIP) แล้วดังนั้นการแก้ไขฐานข้อมูลนี้จะใช้ได้กับ MacOS เวอร์ชันเก่าเท่านั้นซึ่ง Wardle แนะนำให้ผู้ใช้ป้องกันตัวโดยหมั่นอัปเดต OS เสมอ แต่ถ้าหาก Coldroot สามารถแก้ไข TCC.db ได้สำเร็จขั้นต่อไปมันจะทำให้สามารถเริ่มตัวเองได้เมื่อระบบถูกรีบูต ยิ่งกว่านั้นมันยังสามารถสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ได้เพื่อรอรับคำสั่งและมีการสร้างเซสซัน ‘REMOTEDESKTOPTHREAD’ เพื่อคอยส่งข้อมูลที่จับภาพหน้าจอของเหยื่อไปยังคนร้าย

credit : threatpost.com

ที่น่าตกใจคือ Wardle ได้ตรวจสอบกับ Virustotal ซึ่งพบว่าไม่มี Antivirus เจ้าไหนเลยจะสามารถตรวจจับตัวอย่างไฟล์ที่ใช้ในครั้งนี้ได้ ผู้สนใจสามารถติดตามรายละเอียดเพิ่มเติมได้ที่ https://digitasecurity.com/blog/2018/02/19/coldroot/

ที่มา : https://threatpost.com/year-old-coldroot-rat-targets-macos-still-evades-detection/129990/ และ https://www.bleepingcomputer.com/news/security/coldroot-rat-still-undetectable-despite-being-uploaded-on-github-two-years-ago/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

แก๊งแฮ็กเกอร์จีนถูกจับนับสิบ หลังลอบวาง Cryptominer บนอินเทอร์เน็ตคาเฟ่กว่า 30 แห่ง

เว็บไซต์หนังสือพิมพ์จีน Hangzhou ออกมาเปิดเผย สัปดาห์ที่ผ่านมา ตำรวจจีนได้จับกุมตัวแก๊งแฮ็กเกอร์จำนวน 16 คนซึ่งทำงานในบริษัท IT แห่งหนึ่ง หลังลอบวาง Cryptocurrency Miner ในร้านอินเทอร์เน็ตคาเฟ่รวมแล้วถึง 30 แห่งทั่วประเทศจีน

เตือนช่องโหว่ Wavethrough บนเบราว์เซอร์ เสี่ยงถูกขโมยข้อมูลความลับ

Jake Archibald นักวิจัยและนักพัฒนาจาก Google ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูงบนเว็บเบราว์เซอร์สมัยใหม่อย่าง Microsoft Edge และ Mozilla Firefox ซึ่งช่วยให้เว็บไซต์ที่ผู้ใช้เข้าถึงสามารถขโมยข้อมูลจากเว็บไซต์อื่นๆ เช่น ข้อมูลล็อกอิน ที่เปิดใช้บนเบราว์เซอร์เดียวกันได้