Антивирусы до сих пор не научились обнаруживать Pascal-троян Coldroot

Аватар Светлана Хачатурян

Написанный на Pascal вирус Coldroot набирает обороты. Его код лежит на GitHub с 2016 года, но почти ни один антивирус до сих пор не умеет его определять.

Троян удалённого доступа (RAT) Coldroot невидимкой гуляет перед носом практически у всех современных антивирусов. Примечательно, что его разобранный код с 2016 года лежит в открытом репозитории на GitHub. Как сообщает издание BleepingComputer, изначально этот вирус был создан, чтобы «поиграться с пользователями Mac» и «дать дорогу Mac в сфере RAT». Однако на сегодняшний день программа распространилась на три популярные операционные системы — Linux, macOS и Windows. Несмотря на полную открытость, Coldroot ещё ни разу не был замечен ни в одной крупной киберпреступной операции. Однако исследователи опасаются, что сейчас вирус возродился и перешёл в фазу активного распространения.

Фальшивый аудиодрайвер Apple

Специалист по компьютерам Mac Патрик Уордл (Patrick Wardle) случайно наткнулся на новую версию Coldroot. Вирус встроен в один из липовых аудиодрайверов. Исследователь отметил, что этот код существенно отличается от опубликованного на GitHub. Однако детальный анализ вируса позволил выяснить, что новый троян, вероятнее всего, является его усовершенствованной версией. Обновлённый Coldroot умеет (как минимум):

  • создавать новые удалённые сессии;
  • делать снимки экрана;
  • запускать и прерывать процессы в атакуемой системе;
  • искать, загружать, выгружать и запускать файлы.

Все украденные данные передаются в удалённую веб-панель. В качестве автора вируса указан хакер Coldzer0, однако эта информация всё ещё остаётся под вопросом. Следует отметить, что на момент написания новости большинство современных антивирусов не умеют определять наличие старого трояна на пользовательских устройствах. Однако, по всей видимости, службы информационной безопасности уже взялись за пресечение распространения «вредителя». Например, рекламное видео вируса на YouTube было изъято из публичного доступа практически сразу же, как тема Coldroot всплыла в прессе. Устройства Apple в последнее время страдают не только от сторонних решений. Например, недавно в macOS была обнаружена уязвимость, позволяющая сторонним программам незаметно делать снимки экрана, которые можно «просканировать» с помощью библиотек распознавания знаков. А из-за недочёта в функции обработки необычных символов в iOS 11 и macOS ряд приложений «зависают» и заставляют устройства перезагружаться.

Безопасность
3379