Nieuwe RAT kan macOS volledig overnemen

Een nieuwe Remote Access Tool (RAT) is opgedoken voor macOS. De tool kan worden gebruikt om de controle over een systeem dat op macOS draait volledig over te nemen. De tool heet Proton.

Proton is door onderzoekers van het beveiligingsbedrijf Sixgill ontdekt op een gesloten Russische cybercrimeforum. Op het forum kondigt een anonieme gebruiker de tool Proton aan. Proton is exclusief gericht op macOS apparaten en wordt volgens de verkoper niet gedetecteerd door bestaande anti-virusoplossingen voor het besturingssysteem.

Functionaliteiten

De RAT biedt verschillende mogelijkheden:

  • Bash opdrachten uitvoeren als root;
  • Toetsaanslagen monitoren (wachtwoorden loggen);
  • Notificaties ontvangen indien een slachtoffer een specifieke handeling uitvoert;
  • Bestanden uploaden naar een machine op afstand;
  • Bestanden downloaden vanaf een machine op afstand;
  • Direct verbinding maken via SSH/VNC;
  • Screenshots en opnamen via de webcam maken;
  • Updates over-the-air afleveren;
  • Een API waarmee cybercriminelen Proton zelf kunnen bundelen met een programma;
  • Gatekeeper omzeilen door een gesigneerde bundel te kiezen.
De Remote Access Tool Proton wordt aangeboden via een officiële website (bron: Sixgill)

De Remote Access Tool Proton wordt aangeboden via een officiële website (bron: Sixgill)

Sixgill wijst erop dat de ontwikkelaars van Proton legitieme certificaten van Apple gebruiken om de malware als legitieme software te vermommen. De onderzoekers vermoeden dat de ontwikkelaars erin zijn geslaagd zich met valse gegevens aan de melden bij het Apple Developer ID Program of gestolen inloggegevens van een andere ontwikkelaars hebben misbruikt om deze certificaten in handen te krijgen.

Zero-day kwetsbaarheid

Daarnaast merken de onderzoekers op dat het alleen mogelijk is root-toegang te krijgen op macOS door gebruik te maken van een zero-day kwetsbaarheid. Momenteel zijn er volgens Sixgill geen ongepatchte beveiligingsproblemen bekend die de mogelijkheid bieden root-rechten te verkrijgen.

Proton is beschikbaar in verschillende varianten. Voor 40 bitcoin, ruim 45.000 euro, kunnen cybercriminelen onbeperkt gebruik maken van Proton. Dit bedrag is fors lager dan de 100 bitcoins (bijna 115.000 euro) die de ontwikkelaars in eerste instantie voor de RAT vroegen. Wie Proton op slechts één machine wil installeren kan dit doen voor een bedrag van 2 bitcoin, omgerekend zo’n 2.288 euro.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *