Nieuwe RAT kan macOS volledig overnemen

Een nieuwe Remote Access Tool (RAT) is opgedoken voor macOS. De tool kan worden gebruikt om de controle over een systeem dat op macOS draait volledig over te nemen. De tool heet Proton.

Proton is door onderzoekers van het beveiligingsbedrijf Sixgill ontdekt op een gesloten Russische cybercrimeforum. Op het forum kondigt een anonieme gebruiker de tool Proton aan. Proton is exclusief gericht op macOS apparaten en wordt volgens de verkoper niet gedetecteerd door bestaande anti-virusoplossingen voor het besturingssysteem.

Functionaliteiten

De RAT biedt verschillende mogelijkheden:

  • Bash opdrachten uitvoeren als root;
  • Toetsaanslagen monitoren (wachtwoorden loggen);
  • Notificaties ontvangen indien een slachtoffer een specifieke handeling uitvoert;
  • Bestanden uploaden naar een machine op afstand;
  • Bestanden downloaden vanaf een machine op afstand;
  • Direct verbinding maken via SSH/VNC;
  • Screenshots en opnamen via de webcam maken;
  • Updates over-the-air afleveren;
  • Een API waarmee cybercriminelen Proton zelf kunnen bundelen met een programma;
  • Gatekeeper omzeilen door een gesigneerde bundel te kiezen.

De Remote Access Tool Proton wordt aangeboden via een officiële website (bron: Sixgill)

Sixgill wijst erop dat de ontwikkelaars van Proton legitieme certificaten van Apple gebruiken om de malware als legitieme software te vermommen. De onderzoekers vermoeden dat de ontwikkelaars erin zijn geslaagd zich met valse gegevens aan de melden bij het Apple Developer ID Program of gestolen inloggegevens van een andere ontwikkelaars hebben misbruikt om deze certificaten in handen te krijgen.

Zero-day kwetsbaarheid

Daarnaast merken de onderzoekers op dat het alleen mogelijk is root-toegang te krijgen op macOS door gebruik te maken van een zero-day kwetsbaarheid. Momenteel zijn er volgens Sixgill geen ongepatchte beveiligingsproblemen bekend die de mogelijkheid bieden root-rechten te verkrijgen.

Proton is beschikbaar in verschillende varianten. Voor 40 bitcoin, ruim 45.000 euro, kunnen cybercriminelen onbeperkt gebruik maken van Proton. Dit bedrag is fors lager dan de 100 bitcoins (bijna 115.000 euro) die de ontwikkelaars in eerste instantie voor de RAT vroegen. Wie Proton op slechts één machine wil installeren kan dit doen voor een bedrag van 2 bitcoin, omgerekend zo’n 2.288 euro.

Meer over
Lees ook
Klanten van Rabobank en ING zijn doelwit van nieuwe bankingtrojan

Klanten van Rabobank en ING zijn doelwit van nieuwe bankingtrojan

Klanten van de Rabobank en ING zijn doelwit van een nieuwe versie van de bankingtrojan Zeus. De trojan wordt verspreidt in JPG-afbeeldingen die overal op internet zijn geüpload. Hiervoor waarschuwt Jerome Segura van Malwarebytes, die samen met de Franse onderzoeker Xylitol de nieuwe malware heeft onderzocht. De onderzoekers hebben ontdekt dat alle1

Hackers verstoppen malware in RTF-documenten

Hackers verstoppen malware in RTF-documenten

Hackers verstoppen steeds vaker hun malware in RTF-documenten. Hiervoor waarschuwt in ieder geval beveiligingsbedrijf Trend Micro. De RTF-documenten worden voorzien van een embedded Control Panel (CPL)-bestand, die de malware naar de computer van het slachtoffer download. CPL-bestanden zijn bedoeld om informatie over de configuratie van het systee1

Supermalware The Mask bespioneert overheden, diplomaten en olie- & gassector

Supermalware The Mask bespioneert overheden, diplomaten en olie- & gassector

De supermalware The Mask bespioneert al zeker zes jaar lang ongemerkt allerlei doelwitten. De malware richt zich op zowel overheden en diplomaten als de gas- en oliesector. Dit stelt Kaspersky, dat meer details over de zeer geavanceerde malware bekend heeft gemaakt. De malware heeft van zijn makers de naam 'Careto' gekregen, wat het Spaanse woord1