RAT利用0day漏洞获取macOS设备根权限

一款针对macOS的远程访问工具 (RAT)正在使用一个0day漏洞获取对目标设备的根权限，且已出现在地下黑市。

这个RAT名为Proton，被发现于一个封闭的俄语网络犯罪消息留言板上，其作者“在最顶级的网络犯罪地下黑市”上出售。来自Sixgill的研究人员指出这个木马目前售价2比特币（折合2500美元）可安装一次，无限次安装则需40比特币。

木马作者表示这款工具用Objective C编写而成，而且现有的macOS杀毒程序都无法检测到。研究人员表示，Objective C语言提供了一个巨大的优势即恶意软件无需依赖关系。

作者表示它是“一款专业的FUD监控和控制解决方案”并且具有根访问的权限和功能，攻击者可完全控制受害者的设备。这款恶意软件能够执行任何根权限下的bash命令、监控键盘输入、从受害者设备上传/下载文件或将文件上传/下载到受害者设备上、抓取屏幕截图或摄像头图像、获取更新、并向攻击者发送通知消息。

木马还能让攻击者通过SSH/VNC连接到目标设备上，甚至显示一个自定义本机窗口请求信息如信用卡、驾照等。另外这款工具还具有iCloud访问功能，即使是在双因素验证已启动的情况下也是如此。

这款恶意软件之所以具有这些功能是因为它有真的苹果代码签名。恶意软件作者可能为第三方软件开发人员诱骗了苹果的过滤进程，要么是通过用虚假ID注册了苹果的开发者计划，要么是利用了被盗的开发者凭证从而获取必要的证书。

更让人担忧的是此前提到的0day漏洞可用于获取根访问权限。如果真的存在这个漏洞而且掌握在Proton的手中，其他人也有可能会意识到它的存在并进行利用。恶意作者只需要将这个RAT伪装成真实的且具有自定义标志和名称的应用程序就可以进行传播，从而诱骗受害者下载并安装。

这个RAT在一个专门网站上出售且附有一些跟恶意软件相关的推广材料还有一个登陆系统。作者将这款工具在合法使用的前提下进行广告，甚至还在YouTube上上传了一个简短的演示视频。