‘Coldroot’ โทรจันที่ Antivirus ส่วนใหญ่ยังจับไม่ได้ปรับปรุงเทคนิคเล็งผู้ใช้ macOS

นาย Patrick Wardle หัวหน้านักวิจัยที่ Digita Security ได้ค้นพบ Remote Access Trojan (RAT) ที่ชื่อ Coldroot ถูกวางขายอยู่ภายในตลาดมืดตั้งแต่วันที่ 1 มกราคมปี 2017 ซึ่งมีโค้ดหลายเวอร์ชันปรากฏอยู่บน GitHub เกือบ 2 ปีมาแล้ว อีกทั้งปัจจุบันยังมีการปรับให้ใช้งานบน macOS ได้ด้วยเทคนิคที่ซับซ้อนมากขึ้น ที่สำคัญนักวิจัยได้เตือนว่า Antivirus ส่วนใหญ่ยังไม่สามารถตรวจจับได้

credit : Bleeping Computer

จากการทดลองของ Wardle พบว่า RAT สามารถใช้งานได้ทั้ง Windows Linux และ macOS โดยตัวอย่างไฟล์ RAT ที่ Wardle ทดสอบนั้นพยายามอ้างตัวเป็น ‘Apple Audio Driver’ แต่ความน่าสงสัยคือเมื่อตรวจสอบโดย What’s Your Sign มันไม่มีพบการถูกรับรองความน่าเชื่อถือและมีความพยายามไปอ้างถึง TCC.db โดยมันคือฐานข้อมูลที่เก็บรายชื่อของแอปพลิเคชันว่ามีสิทธิ์เข้าถึงอะไรได้บ้าง “หากแก้ไขฐานข้อมูลนี้ได้มันจะสามารถกำหนดการปฏิสัมพันธ์กับ UI ของระบบหรือแอปพลิเคชันอื่นได้ หรือแม้แต่การดักจับคีย์ (Kerlogger) ซึ่งการแก้ไขฐานข้อมูลโดยตรงนี้จะสามารถหลบเลี่ยงการแจ้งเตือนของระบบต่อผู้ใช้งานได้“–“Wardle กล่าว

credit : digitasecurity.com

สิ่งที่ RAT ตัวนี้ทำคือพยายามอ้างตัวเป็น Driver ‘com.apple.audio.driver2.app’ ซึ่งถ้าถูกคลิกมันจะแสดงหน้าต่างร้องขอการพิสูจน์ตัวตนของ MacOS Credentials หากผู้ใช้หลงเชื่อมันจะสามารถเข้าไปแก้ไข TCC.db และแสดงความสามารถดักจับแป้นพิมพ์ต่อไปได้ อย่างไรก็ตาม MacOS High Sierra เวอร์ชันปัจจุบันมีการป้องกัน TCC.db ด้วย System Integrity Protection (SIP) แล้วดังนั้นการแก้ไขฐานข้อมูลนี้จะใช้ได้กับ MacOS เวอร์ชันเก่าเท่านั้นซึ่ง Wardle แนะนำให้ผู้ใช้ป้องกันตัวโดยหมั่นอัปเดต OS เสมอ แต่ถ้าหาก Coldroot สามารถแก้ไข TCC.db ได้สำเร็จขั้นต่อไปมันจะทำให้สามารถเริ่มตัวเองได้เมื่อระบบถูกรีบูต ยิ่งกว่านั้นมันยังสามารถสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ได้เพื่อรอรับคำสั่งและมีการสร้างเซสซัน ‘REMOTEDESKTOPTHREAD’ เพื่อคอยส่งข้อมูลที่จับภาพหน้าจอของเหยื่อไปยังคนร้าย

credit : threatpost.com

ที่น่าตกใจคือ Wardle ได้ตรวจสอบกับ Virustotal ซึ่งพบว่าไม่มี Antivirus เจ้าไหนเลยจะสามารถตรวจจับตัวอย่างไฟล์ที่ใช้ในครั้งนี้ได้ ผู้สนใจสามารถติดตามรายละเอียดเพิ่มเติมได้ที่ https://digitasecurity.com/blog/2018/02/19/coldroot/

ที่มา : https://threatpost.com/year-old-coldroot-rat-targets-macos-still-evades-detection/129990/ และ https://www.bleepingcomputer.com/news/security/coldroot-rat-still-undetectable-despite-being-uploaded-on-github-two-years-ago/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบบั๊กบน Facebook API รูปภาพของผู้ใช้กว่า 6.8 ล้านคนเสี่ยงหลุดสู่ภายนอก

Facebook ออกแถลงการณ์ พบบั๊กบน Application Programming Interface (API) สำหรับรูปภาพบนแพลตฟอร์มโซเชียลมีเดียของตน ซึ่งอาจทำให้บุคคลที่สามสามารถเข้าถึงรูปภาพของผู้ใช้กว่า 6,800,000 คนเกินกว่าที่กำหนดไว้ได้โดยไม่ได้รับอนุญาต

สหรัฐฯ เตือนประชาชนอยู่ในความสงบ หลังพบอีเมลสแปมขู่วางระเบิดทั่วสหรัฐฯ

ตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องของสหรัฐฯ ออกมาแจ้งเตือนให้ประชาชนอยู่ในความสงบ หลังพบแคมเปญอีเมลสแปมขู่วางระเบิดแพร่กระจายในหลายเมือง ไม่ว่าจะเป็นนิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก และวอชิงตัน หากไม่ยอมจ่ายค่าไถ่ $20,000 (ประมาณ 650,000 บาท) ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่วทั้งสหรัฐฯ