Patrick Wardle è un ricercatore di sicurezza di Digita Security: da oltre un anno sta studiando il trojan per Mac Coldroot, che pare a tutt'oggi invisibile agli antivirus.
Wardle si è imbattuto in questo trojan studiando TCC.db, un database del sistema operativo Apple molto appetitoso per i cyber criminali: solitamente è bersaglio di keylogger che puntano a sottrarre informazioni. TCC.db è infatti un database molto particolare, che contiene le informazioni più sensibili ospitate nel sistema e che è stato recentemente protetto attraverso una specifica funzione di sicurezza, la "System Integrity Protection (SIP), introdotta con OS X El Capitan. Le versioni precedenti restano però vulnerabili ad attacchi contro TCC.db.
Le ricerche di Wardle...
Wardle è incappato nel file com.apple.audio.drvier2.app, che fa riferimento espressamente a TCC.db: è un (presunto) driver audio per Mac che però Wardle ha notato non possedere alcuna firma digitale. Inoltre risulta impacchettato con UPX, un metodo spesso usato dai cyber criminali che vogliono offuscare i contenuti dei propri malware: tutto ciò non ha fatto altro che confermare i sospetti di Wardle.
L'applicazione dannosa
Ulteriori analisi del funzionamento dell'app, hanno dimostrato che Wardle aveva visto giusto. Coldroot, al momento dell'esecuzione, visualizza una finestra che chiede l'inserimento delle credenziali degli utenti. Una volta completato l'accesso, questa finestra si chiude: l'utente non visualizza alcun evidente cambiamento. In realtà, con questo passaggio, il malware si garantisce la persistenza sul sistema: si è infatti registrato sotto forma di daemon sul Mac a livello di utente root, così si auto avvia ad ogni accensione del computer.
Il keylogger
Coldroot è appunto un keylogger: registra in remoto tutto ciò che viene digitato sul computer dall'utente. Il trojan stabilisce un contatto col proprio server Command e Control e comincia ad inviare le informazioni sottratte. Tramite il server C&C gli attaccanti possono non solo raccogliere le informazioni, ma inviare al trojan comandi da remoto per eseguire ulteriori azioni dannose.
Coldroot è appunto un keylogger: registra in remoto tutto ciò che viene digitato sul computer dall'utente. Il trojan stabilisce un contatto col proprio server Command e Control e comincia ad inviare le informazioni sottratte. Tramite il server C&C gli attaccanti possono non solo raccogliere le informazioni, ma inviare al trojan comandi da remoto per eseguire ulteriori azioni dannose.