Nieuwe RAT kan macOS volledig overnemen

  1. 8 mrt 2017
  2. 0 reacties

Een nieuwe Remote Access Tool (RAT) is opgedoken voor macOS. De tool kan worden gebruikt om de controle over een systeem dat op macOS draait volledig over te nemen. De tool heet Proton.

Proton is door onderzoekers van het beveiligingsbedrijf Sixgill ontdekt op een gesloten Russische cybercrimeforum. Op het forum kondigt een anonieme gebruiker de tool Proton aan. Proton is exclusief gericht op macOS apparaten en wordt volgens de verkoper niet gedetecteerd door bestaande anti-virusoplossingen voor het besturingssysteem.

Functionaliteiten

De RAT biedt verschillende mogelijkheden:

  • Bash opdrachten uitvoeren als root;
  • Toetsaanslagen monitoren (wachtwoorden loggen);
  • Notificaties ontvangen indien een slachtoffer een specifieke handeling uitvoert;
  • Bestanden uploaden naar een machine op afstand;
  • Bestanden downloaden vanaf een machine op afstand;
  • Direct verbinding maken via SSH/VNC;
  • Screenshots en opnamen via de webcam maken;
  • Updates over-the-air afleveren;
  • Een API waarmee cybercriminelen Proton zelf kunnen bundelen met een programma;
  • Gatekeeper omzeilen door een gesigneerde bundel te kiezen.

De Remote Access Tool Proton wordt aangeboden via een officiële website (bron: Sixgill)

Sixgill wijst erop dat de ontwikkelaars van Proton legitieme certificaten van Apple gebruiken om de malware als legitieme software te vermommen. De onderzoekers vermoeden dat de ontwikkelaars erin zijn geslaagd zich met valse gegevens aan de melden bij het Apple Developer ID Program of gestolen inloggegevens van een andere ontwikkelaars hebben misbruikt om deze certificaten in handen te krijgen.

Zero-day kwetsbaarheid

Daarnaast merken de onderzoekers op dat het alleen mogelijk is root-toegang te krijgen op macOS door gebruik te maken van een zero-day kwetsbaarheid. Momenteel zijn er volgens Sixgill geen ongepatchte beveiligingsproblemen bekend die de mogelijkheid bieden root-rechten te verkrijgen.

Proton is beschikbaar in verschillende varianten. Voor 40 bitcoin, ruim 45.000 euro, kunnen cybercriminelen onbeperkt gebruik maken van Proton. Dit bedrag is fors lager dan de 100 bitcoins (bijna 115.000 euro) die de ontwikkelaars in eerste instantie voor de RAT vroegen. Wie Proton op slechts één machine wil installeren kan dit doen voor een bedrag van 2 bitcoin, omgerekend zo’n 2.288 euro.

Meer over
Lees ook
Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst

Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst

Onderzoekers van Proofpoint volgen verschillende dreigingsactoren, waaronder TA427. Deze dreigingsactor is ook bekend als Emerald Sleet, APT43, THALLIUM of Kimsuky en wordt gelieerd aan Noord-Korea.

Proofpoint: TA547 richt zich op Duitse bedrijven met Rhadamanthys Stealer

Proofpoint: TA547 richt zich op Duitse bedrijven met Rhadamanthys Stealer

Onderzoekers van Proofpoint identificeren een nieuwe e-mailcampagne van TA547. Deze richt zich op Duitse bedrijven en heeft als doel het afleveren van Rhadamanthys malware

Dreigingsactoren leveren malware via YouTube

Dreigingsactoren leveren malware via YouTube

Proofpoint  Emerging Threats ziet dat de aflevering van malware voor het stelen van informatie via YouTube plaatsvindt. Voorbeelden hiervan zijn Vidar, StealC en Lumma Stealer. De aflevering vindt plaats via illegale software en cracks van videogames