Coldroot: macOS-Trojaner offenbar seit zwei Jahren unentdeckt

Ein Sicherheitsforscher hat eine Remote-Access-Malware für Apple-Rechner entdeckt, die seit mindestens 2016 kursieren soll.

In Pocket speichern vorlesen Druckansicht 60 Kommentare lesen
Coldroot: macOS-Trojaner seit Jahren unentdeckt

Coldroot versucht, sich Accessibility-Rechte zu sichern, um den Mac zu kontrollieren.

(Bild: Patrick Wardle)

Lesezeit: 2 Min.

Bei einer Recherche in der VirusTotal-Datenbank ist einem macOS-Sicherheitsforscher eine bislang noch unbekannte Malware für Apple-Rechner aufgefallen, die Keylogging- und Remote-Access-Funktionen mitbringt. Patrick Wardle von Digita Security hat den Schädling "OSX/Coldroot" getauft und glaubt, dass er bereits seit 2016 kursiert – zumindest finden sich entsprechende Hinweise im Code.

Der Schädling steckt in der als Audiotreiber getarnten Datei "com.apple.audio.driver2.app". Wie sich diese verbreitet hat, ist derzeit noch unklar – ebenso, wie oft der Schädling sich tatsächlich auf Macs einnisten konnte. Coldroot sei zwar "nicht besonders raffiniert", beinhaltet aber unter Angreifern beliebten Funktionen, sagt Wardle.

So kann die Software beispielsweise eingetippte Passwörter mitschneiden und versenden, Dateien löschen und herunterladen, in Echtzeit einen Blick auf den Desktop werfen und das System herunterfahren. Um sich den Schädling einzufangen, muss ein Opfer allerdings Zugangsdaten für ein macOS-Benutzerkonto eingeben. Nach der Installation wartet Coldroot dann auf Kommandos eines externen Servers.

Im Betrieb bedient sich die Malware einiger Tricks: So wird die Privacy-Datenbank (TCC.db) in macOS-Versionen vor Sierra direkt modifiziert, was das Keylogging vereinfacht. Laut Wardle kannte VirusTotal com.apple.audio.driver2.app als Schädling während seiner Recherche nicht. Auch Apple selbst hatte die Malware zu diesem Zeitpunkt nicht in seine Blockliste (XProtect) aufgenommen.

Der Sicherheitsforscher hatte in der Vergangenheit schon häufiger problematische macOS-Malware entdeckt – zuletzt analysierte er einen Krypto-Miner, der sich in ein Mac-Download-Verzeichnis eingeschlichen hatte.

Mehr zum Thema:

(bsc)