Neue Variante des macOS Proton RAT wird im Russian Cybercrime Underground angeboten

Experten der Sicherheitsfirma Sixgill haben eine neue Art des macOS Proton RAT entdeckt, welcher im Russian Cybercrime Underground verkauft wird.

Experten der Sicherheitsfirma Sixgill haben eine neue Art des macOS Proton RAT entdeckt, welcher im Russian Cybercrime Underground verkauft wird.

Das Dark-Web ist der richtige Ort, um illegale Produkte und Dienste jeglicher Art zu finden. Malware wie Bankingtrojaner und Spyware sind sehr begehrt in der Untergrund-Cyberkriminalität.

Ein neues Remote Access Tool (RAT), speziell entworfen um Systeme mit macOS zu infizieren, wird derzeit im Russian Cybercrime Underground verkauft. Die Forscher der Sicherheitsfirma Sixgill entdeckten die Werbung in kriminellen Foren und auf einer benutzerdefinierten Webseite. Diese Bedrohung wird ebenfalls in Videos beschrieben, welche auf YouTube veröffentlicht wurden.

Die Proton Homepage wurde kurz nach der Veröffentlichung des Berichts bei Sixgill offline genommen.

„Forscher von Sixgill sind auf einem Beitrag in einem der führenden, geschlossenen russischen Cybercrime Message Boards gestoßen. Der Autor des Threads kündigte einen RAT namens Proton an, welcher für die exklusive Installation auf MAC-OS-Geräten geeignet ist. „Der Autor bot dieses Produkt in einem der führenden Underground Cybercrime Märkte an“ steht in einem von Sixgill veröffentlichen Bericht.

Der Proton-RAT erschien letztes Jahr in der Bedrohungslandschaft zum ersten Mal. Die kürzlich in Hackingforen angebotene Variante enthält viele Eigenschaften wie z.B. die Fähigkeit Konsolenbefehle auszuführen, auf die Webcam des Benutzers zuzugreifen, Tastatureingaben zu protokollieren, Screenshots aufzunehmen und SSH/VNC-Remoteverbindungen zu öffnen. Der schädliche Code kann weiteren bösartigen Code in den Browser des Benutzers einfügen, um Popups anzeigen zu lassen, welche Informationen wie Kreditkartennummern, Zugangsdaten und andere Informationen des Opfers erfordern.

„Die Malware enthält Root-Access-Berechtigungen und Funktionen, die es dem Angreifer ermöglichen, die volle Kontrolle über den Rechner des Opfers zu erhalten. Die Fähigkeiten der Malware umfassen: Echtzeit Konsolenverbindung und Datei-Manager, Key-Logging, SSH/VNC-Verbindungen, Screenshots, Webcam Verbindungen und die Möglichkeit ein eigenständiges Fenster darzustellen, um Informationen wie Kreditkarten-Daten, Führerschein-Daten und mehr auszulesen. Ferner heißt es in dem Bericht auch, dass die Malware die Möglichkeit des iCloud-Zugriffs bietet, auch wenn die Zwei-Faktor-Authentifizierung aktiviert ist.

Gemäß dem Autor ist macOS Proton RAT in native Objective-C geschrieben und komplett unauffindbar von bereits existierenden macOS Antivirus-Lösungen.

Folgend die Liste der in der Anzeige beschriebenen Eigenschaften:

Das Proton RAT enthält Root-Zugriff und kann Standard macOS Sicherheitsfunktionen sowie die Zwei-Faktor-Authentifizierung für iCloud-Konten umgehen.

Forscher spekulieren, dass das macOS Proton RAT eine Zero-Day Sicherheitslücke in macOS nutzt. Die interessanteste Eigenschaft der Bedrohung ist jedoch, dass der böswillige Code mit echten Apple Code-Signing-Zertifikaten signiert ist. Es ist sehr wahrscheinlich, dass der Autor es geschafft hat, Registrierungen zum Apple Developer ID Program zu fälschen oder Berechtigungsnachweise eines Entwicklers von Apple zu stehlen.

„Die echte Bedrohung hinter diese Software ist Folgendes: Die Malware wir mit echten Apple Code-Signing-Signaturen ausgeliefert. Das bedeutet, dass der Autor von Proton RAT es irgendwie durch den strengen Filterungsprozess, welchen Apple auf Entwickler von Drittsoftware für das MacOS anwendet, geschafft hat und echte Zertifizierungen für sein Programm erhält. Sixgill stellt fest, dass der Entwickler der Malware es geschafft hat, Anmeldungen zum Apple Developer ID Program zu verfälschen oder gestohlene Entwickler Berechtigungsnachweise für diesen Zweck zu verwenden.

Der Preis für das macOS Proton RAT liegt zwischen 1.200,00$ und $830.000,00 für das gesamte Projekt (ein absurder Preis). Folgend die Versionen, welche auf Proton-Webseiten beworben werden:

Standard Edition

I) Lizenz, um lediglich 1 Remote-Maschine zu steuern 1) 1 BTC – unsigniert 2) 2 BTC – signiert

II) Lizenz, um 20 Remote-Maschinen zu steuern 1) 10 BTC – unsigniert 2) 11 BTC – signiert

III) Lizenz, um unendlich viele Remote-Maschinen zu steuern 1) 66 BTC – unsigniert 2) 76 BTC – signiert

Extended Edition

I) Lizenz, um unendlich viele Remote-Maschine zu steuern 1) 166 BTC – unsigniert 2) 200 BTC – signiert

II) Lizenz, um unendlich viele Remote-Maschinen von Ihrem eigenen Server zu steuern 1) 366 BTC – ohne Quellcode 2) 666 BTC – mit kompletten Quellcode

Forschern ist aufgefallen, dass die Autoren der Malware versuchen, Ihre Spyware als legitime Überwachungssoftware zu verbergen.

Mit freundlicher Genehmigung aus dem englischen Original von Pierluigi Paganini