Coldroot: Der jahrelang unentdeckte Mac-Trojaner

Am Montag hat Patrick Wardle, leitender Sicherheitsforscher bei Digital Security, in einem Blog Post Details zum Mac-Trojaner Coldroot aufgelistet. Der Code des Trojaners hätte eigentlich seit über zwei Jahren bekannt sein sollen, trotzdem agierte die Malware weitestgehend unbemerkt von den gängigen Antivirus-Programmen.

Denn Wardle hat sich mit dem Trojaner beschäftigt und herausgefunden, dass nicht ein einziges der auf VirusTotal gelisteten Antivirus-Programme den Trojaner erkannt hat. Dabei sei das Schadprogramm nicht einmal besonders anspruchsvoll programmiert, so der Sicherheitsforscher.

Die Schadsoftware tarnt sich als „apple audio driver“ im Namen, das Icon entspricht dem Standard-Dokumenten-Icon von Apple. Wird das File ausgeführt, dann erscheint eine Eingabeaufforderung. Trägt der Nutzer nun seine Einlogg-Daten ein, so folgt keine sichtbare Aktion des Programms. Im Hintergrund nistet sich der Trojaner jedoch als Launch Daemon ein und erlangt weitgehende Rechte.

Es fängt an mit einem externen Server zu kommunizieren und sendet allerhand Daten über den infizierten Rechner. Unter anderem beginnt der Trojaner sämtliche Tasteneingaben aufzuzeichnen und zu übermitteln, darunter eben auch Passwörter.

Problematisch ist der Trojaner derzeit nur für ältere macOS-Systeme, da die neueren Versionen (Sierra+) eine kritische Datenbank per SIP sperren, auf die das Schadprogramm normalerweise per Userlogin zugreift. Ältere Systeme können aber betroffen sein, zudem ist es bedenklich, dass noch immer keines der Antivirenprogramme den Trojaner erkennt. Wardle hat bereits die Antivirus-Hersteller informiert.

Quelle(n)