MacOS Proton RATs Forgjenger Calisto Oppdaget På VirusTotal

2023 Forfatter: Kayla Nelson | [email protected]. Sist endret: 2023-07-30 23:17

Mellom 2^nd og 6^th i mai kom HandBrake nedlasting av speillink (download.handbrake.fr) i fare, og utviklerne la ut advarsel på 6^th mai for å veilede brukere i å avgjøre om deres MacOS-systemer ble infisert av den beryktede Proton Remote Access Trojan (RAT). Det ble rapportert at omtrent 50% av alle nedlastningene som ble utført i den tidsrammen, resulterte i infiserte enhetssystemer. Nå har forskere ved Kaspersky klart å snuble over forgjengeren av Proton RAT-skadelig programvare, Calisto, som de mener ble utviklet året før Proton, da den ikke hadde muligheten til å omgå System Integrity Protection (SIP) som krever administratoropplysninger for redigering av grunnleggende filer, funksjonen som ble forbedret på den tiden. Kasperskys forskere har konkludert med at Calisto ble forlatt til fordel for Proton ettersom Calistos kode virket upolert. Calisto ble oppdaget på VirusTotal, og det ser ut til at viruset ble værende der i to til tre år uten å bli oppdaget til nå.

Proton RAT er farlig og kraftig skadelig programvare som først ble utgitt i slutten av 2016, og som bruker ekte Apple-kodesigneringssertifikater for å manipulere systemet og få root-tilgang på MacOS-enheter. Skadelig programvare er i stand til å omgå alle sikkerhetstiltak på plass, inkludert iClouds tofaktorautentisering og systemintegritetsbeskyttelse, slik at den kan overvåke datamaskinaktivitet eksternt ved å logge tastetrykk, utføre falske popup-vinduer for å samle inn informasjon, ta skjermbilder, vise eksternt alt aktiviteten på skjermen, trekke ut datafiler av interesse, og se på brukeren gjennom hans eller hennes webkamera. Det ser ut til å være en enkel måte å fjerne skadelig programvare en gang oppdaget, men hvis det viser seg å ha vært aktiv på systemet (hvis prosessen "Activity_agent" vises i Activity Monitor-applikasjonen på enheten), kan brukerne være sikre på at den har lagret alle passordene deres og fikk tilgang til alle data som er lagret i nettlesere eller Macs egen nøkkelring. Derfor blir brukerne bedt om å endre dem på rene enheter umiddelbart for å unngå å kompromittere deres økonomiske og elektroniske data.

Det som er mest interessant med Proton RAT, er at i følge New Jersey Cybersecurity and Communications Integration Cell (NJCCIC), skaperen av skadelig programvare annonserte det som overvåkingsprogramvare for bedrifter og til og med foreldre for hjemmebruk overvåking av barnas digitale aktivitet. Denne programvaren hadde prislapp mellom USD $ 1.200 og USD $ 820.000, basert på lisensiering og funksjoner som er gitt for brukeren. Disse "overvåkings" -funksjonene var imidlertid ulovlige, og da hackere fikk tak i koden, ble programmet sendt ut gjennom mange nedlastinger under YouTube-videoer, kompromitterte nettportaler, HandBrake-programvaren (i tilfelle HandBrake-1.0. 7.dmg ble erstattet med OSX. PROTON-fil), og gjennom det mørke nettet. Selv om brukere ikke har noe å frykte med Calisto så lenge SIP er aktivert og fungerer, synes forskerne at kodens evne til å manipulere systemet med autentiske Apple-legitimasjoner alarmerende og frykter hva fremtidig malware kan være i stand til å bruke den samme mekanismen. På dette stadiet er Proton RAT avtakbart når det oppdages. Arbeidet med den samme grunnleggende sertifikatmanipuleringen kan imidlertid skadelig programvare snart feste seg til systemer som permanent agent.