Proton RAT利用0day漏洞升级新变种，最低1200美元可出售

暗网向来是寻找各种非法产品和服务的好地方，恶意软件（如银行木马以及间谍软件等）都是地下黑市中最流行的产品。

最近，一款专门针对macOS系统的远程访问工具 （RAT）——名为“Proton”正在俄罗斯地下黑市上出售。Sixgill安全公司的研究人员在犯罪论坛以及一个定制网站中都发现了该产品的广告宣传，该工具的开发者甚至还在YouTube上上传了一个简短的演示视频。

而就在Sixgill安全专家发表了这份报告之后，Proton的主页就关闭了。Sixgill发表的报告写道，

Sixgill安全研究人员曾在一个封闭的俄语网络犯罪消息留言板上发现一款RAT，其开发者称其为“Proton”，专门针对macOS系统安全。开发者将其“在最顶级的网络犯罪地下黑市”上出售。

去年，Proton RAT第一次出现在威胁景观中，而最新出现在黑客论坛上的新变体拥有很多特性，如执行控制台命令、访问用户的网络摄像头、记录击键信息、获取截图以及开启SSH/VNC远程连接等能力。该恶意软件还能在用户浏览器中注入恶意代码，进而弹出窗口询问受害者相关信息，如信用卡号码、登录凭证等等。

报告继续写道：

恶意软件包含跟访问特权，允许攻击者完全控制受害者的设备。它的具体功能包括：运行实时控制台命令和文件管理器、监控键盘输入、SSH/VNC连接、获取屏幕截图或摄像头图像、获取更新等能力。此外，它还能显示一个自定义本机窗口询问用户个人信息如信用卡、驾照等。另外该恶意软件还具有iCloud访问功能，即使是在双因素验证已启动的情况下也是如此。

根据该木马作者所言，这款工具是用Objective-C编写而成的，而且现有的macOS防病毒解决方案都无法检测到。研究人员表示，Objective-C语言提供了一个巨大的优势即恶意软件无需依赖关系。

以下为广告宣传中的功能列表：

Proton RAT具有跟访问权限且能够逃避标准macOS安全特性，同时，它还能绕过双因素验证访问iCloud账户。

研究人员推测，macOS Proton RAT利用了macOS系统中的零日漏洞，但是该恶意软件最有趣的特征是，该恶意代码是真正的苹果代码签名证书签署的。恶意软件作者可能为第三方软件开发人员诱骗了苹果的过滤进程，要么是通过用虚假ID注册了苹果的开发者计划，要么是利用了被盗的开发者凭证从而获取必要的证书。

据悉，macOS Proton RAT整个项目的售价范围从1200美元到83万美元（一个荒谬的价格）之间不等。以下为Proton网站上宣传的版本：

标准版

控制一台远程设备：未签名版——1比特币（约合1250美元）；签名版——2比特币（约合2500美元）；
控制20台远程设备：未签名版——10比特币；签名版——11比特币；
控制无限台远程设备：未签名版——66比特币；签名版——76比特币；

升级版

控制无限台远程设备：未签名版——166比特币；签名版——200比特币；
在你自己的服务器上控制无限台设备：没有源代码——366比特币；完整源代码——666比特币；

研究人员还注意到，该恶意软件的作者试图将其间谍软件伪装成合法的监控软件。