ColdRoot Malware

Scroll Down For English

تعالوا نختصر الحوار ..
نأسف على التأخير للمره الثانية لكن للحياة الجامعية رأي آخر ..
في العموم في مجال الـ Cyber Security ما يسمى بالـ Rat أو Remote Access Trojan ..

اي دا طب ؟

هو Malware بيسمح للـ Attacker أنه يتحكم بجهاز الـ Victim Remotely بإستخدام أكيد الـ C2 server ..
وهو Malware لطيف بطبعه بيعمل حاجات لا تذكر زي أنه ( Keylogger - Remote Command Execute - File Access - (Spying سواء مايك أو كاميرا ) - ( persistence ومعناه بيزرع نفسه في الـ Kernal عشان يـ reboot كل مره مع فتح الجهاز ) ) وفي الأغلب لأنظمة الـ Windows & Linux ..

طيب وبالنسبة لـ Mac ؟
طبعاً محدش بيرضى بالعنصرية دي وعشان كدا ظهر ما يسمى بـ ColdRoot ..

وللأسف كمان متعملوش Detection & Mitigation إلا بعد سنين أصلا !

القصة وما هنالك إن دا C Script متارجت MacOS وينفع لأي نظام لكن ظهر عشان أنظمة الـ Mac واستغلال ثغراته في ذلك الوقت و نظام الحماية Apple Gatekeeper ..

وهو نوع من أنواع الـ RAT فا لا يختلف كثيراً في الضرر وتقريباً نفس الـ Functions ..

طيب إزاي بيقدر يتخطى نظام حماية ماك المعروفة بالـ Security بتاعها الي أصلا مبيسمحش غير بالـ App store أو في أسوء الظروف Apps لها ID developer متوثق ؟

ممكن ثلاث سيناريوهات ..
- وقتها كان الـ Coldroot Legitimate Code .. وتم الحصول أو سرقة ID Developer سواء أيا كانت الطريقة أو Certificate عموماً + وفي فترة هذا الإصدار الـ Gatekeeper كان بيـ Focus On Source Not Behavior بمعنى إنه مادام معاك ID يبقى إنت شخص تمام ومش مهم هتعمل أو بتعمل اي ..

- الـ Gatekeeper في إحدى الإصدارات كان بسـ Scan كل فترة على أساس الـ Directories الي في الجهاز ..
يعني مثلاً الـ C Volume دي Clean دائماً واعتمادا على الـ Developmer ID أو حتى اعتماداً ان دي ملفات نظام الـ OS ..
ومن خلال بقا Trusted Network أو حتى External Drive اتعملها Scan قبل كدا وظهرت له انها Clean ..

- أو من خلال استغلال ثغرات ما أو حتى سيناريوهات الـ Social engineering الي بتبقى مثلا في الأغلب Phining Mails ..

وبس كدا !
إن أخطأت فهو من نفسي والشيطان
وإن أصبت فهو من عند الله ..

— — — — — — — — — — — — — — —

Let's summarize the conversation.

We apologize for the delay for the second time, but university life has its own demands.

In general, in the field of Cyber Security, there's something called a RAT or Remote Access Trojan.

What's that exactly?

It's malware that allows an attacker to remotely control the victim's device using a C2 server. It's a "friendly" malware that does things like keylogging, remote command execution, file access, spying (through microphone or camera), and persistence, which means it implants itself in the kernel to reboot every time the device starts up. This typically affects Windows and Linux systems.

What about Mac?

Of course, no one accepts this kind of discrimination, which is why something called ColdRoot appeared.

Unfortunately, detection and mitigation weren't implemented until years later!

The story is that this is a C script targeting macOS (but it works on any system). It emerged to exploit vulnerabilities in Mac systems and their protection system, Apple Gatekeeper.

It's a type of RAT, so it doesn't differ much in damage, and it has nearly the same functions.

How does it bypass macOS's known security, which only allows apps from the App Store or, in the worst cases, apps with verified developer IDs?

There are three possible scenarios:

- At that time, ColdRoot was legitimate code, and a developer ID or certificate was either stolen or obtained somehow. Back then, Gatekeeper focused on the source, not behavior, meaning if you had a valid ID, you were considered safe regardless of what you were doing.

- Gatekeeper, in a certain version, would only scan occasionally based on the directories in the system. For example, the C volume was always considered clean, relying on the developer ID or the fact that they were system files. Through a trusted network or an external drive that had been previously scanned and deemed clean, malware could slip through.

- Or through exploiting vulnerabilities or social engineering scenarios, most likely through phishing emails.

That's it!

If I made a mistake, it's from me and Satan. If I got it right, it's from God.