Nieuwe RAT kan macOS volledig overnemen
Een nieuwe Remote Access Tool (RAT) is opgedoken voor macOS. De tool kan worden gebruikt om de controle over een systeem dat op macOS draait volledig over te nemen. De tool heet Proton.
Proton is door onderzoekers van het beveiligingsbedrijf Sixgill ontdekt op een gesloten Russische cybercrimeforum. Op het forum kondigt een anonieme gebruiker de tool Proton aan. Proton is exclusief gericht op macOS apparaten en wordt volgens de verkoper niet gedetecteerd door bestaande anti-virusoplossingen voor het besturingssysteem.
Functionaliteiten
De RAT biedt verschillende mogelijkheden:
- Bash opdrachten uitvoeren als root;
- Toetsaanslagen monitoren (wachtwoorden loggen);
- Notificaties ontvangen indien een slachtoffer een specifieke handeling uitvoert;
- Bestanden uploaden naar een machine op afstand;
- Bestanden downloaden vanaf een machine op afstand;
- Direct verbinding maken via SSH/VNC;
- Screenshots en opnamen via de webcam maken;
- Updates over-the-air afleveren;
- Een API waarmee cybercriminelen Proton zelf kunnen bundelen met een programma;
- Gatekeeper omzeilen door een gesigneerde bundel te kiezen.
De Remote Access Tool Proton wordt aangeboden via een officiële website (bron: Sixgill)
Sixgill wijst erop dat de ontwikkelaars van Proton legitieme certificaten van Apple gebruiken om de malware als legitieme software te vermommen. De onderzoekers vermoeden dat de ontwikkelaars erin zijn geslaagd zich met valse gegevens aan de melden bij het Apple Developer ID Program of gestolen inloggegevens van een andere ontwikkelaars hebben misbruikt om deze certificaten in handen te krijgen.
Zero-day kwetsbaarheid
Daarnaast merken de onderzoekers op dat het alleen mogelijk is root-toegang te krijgen op macOS door gebruik te maken van een zero-day kwetsbaarheid. Momenteel zijn er volgens Sixgill geen ongepatchte beveiligingsproblemen bekend die de mogelijkheid bieden root-rechten te verkrijgen.
Proton is beschikbaar in verschillende varianten. Voor 40 bitcoin, ruim 45.000 euro, kunnen cybercriminelen onbeperkt gebruik maken van Proton. Dit bedrag is fors lager dan de 100 bitcoins (bijna 115.000 euro) die de ontwikkelaars in eerste instantie voor de RAT vroegen. Wie Proton op slechts één machine wil installeren kan dit doen voor een bedrag van 2 bitcoin, omgerekend zo’n 2.288 euro.
Meer over
Lees ook
Wat te doen als je het slachtoffer wordt van een ransomware-aanval
Als je een IT-beheerder vraagt waar hij van wakker ligt zal het antwoord zeer vaak ‘ransomware’ zijn. Logisch, want elke medewerker kan door simpelweg op een link te klikken of een kwaadaardig bestand te downloaden zonder het te weten een ransomware-aanval ontketenen. In hun wanhoop zijn organisaties al snel geneigd om losgeld te betalen om weer t1
Ransomwarebesmettingen eerste kwartaal al verdubbeld ten opzichte van 2021
Het totale aantal ransomwarebesmettingen was in het eerste kwartaal van dit jaar al verdubbeld ten opzichte van heel 2021. Dat concludeert WatchGuard Technologies in de nieuwste editie van het Internet Security Report. De securityspecialist signaleert daarnaast een groei in Powerscript-aanvallen en kwaadaardige cryptomining.
Proofpoint ontdekt Microsoft Office 365-functionaliteit die bestanden op SharePoint en OneDrive versleutelt
Ransomware-aanvallen zijn van oudsher gericht op data op endpoints of netwerkschijven. Tot nu toe dachten IT- en beveiligingsteams dat de cloud beter bestand was tegen ransomware-aanvallen. Immers, de nu bekende "AutoSave"-functie, samen met versiebeheer en de welbekende prullenbak, zouden voldoende moeten zijn geweest als back-ups. Dat is mogelij1