Coldroot el nuevo Malware para Mac que realiza silenciosamente un registro de teclas en todo el sistema

Los investigadores de seguridad han descubierto una nueva cepa de malware llamada Coldroot que no ha sido detectada por todos los programas antivirus, incluidos los de Virustotal, ya que solo 18 de las 20 herramientas antivirus pudieron detectarlo como malicioso. Este malware para Mac es un troyano de acceso aleatorio (RAT) que se compartió en línea en Github en 2016 como parte de una broma dirigida a los usuarios de Mac. Desde el 30 de marzo de 2016, esta RAT ha estado disponible libremente en Github y aún hoy se distribuye activamente.

Coldroot pasa desapercibido

Coldroot ahora es capaz de afectar a todos los sistemas operativos de escritorio principal y puede obtener de forma silenciosa control remoto en una computadora comprometida/vulnerable. Cabe señalar que las empresas de AV aún no han notado este malware. Los detalles de Coldroot fueron revelados públicamente por un investigador de seguridad y jefe de investigación de Digita Security, Patrick Wardle.

Wardle identificó que era un malware de "característica completa, actualmente no detectada" y que estaba siendo vendido por Coldzer0 en la Dark Web desde el 1 de enero de 2017. Reveló además que Coldzer0 también ofrecía a los clientes potenciales información sobre los métodos de personalización del malware. Además, Coldzer0 publicó un video que indica que Coldroot RAT es multiplataforma se puede utilizar para para MacOS, Linux y sistemas basados en Windows.

Capacidades de keylogging de Coldroot

La versión reciente mejorada del malware se identificó inicialmente en un controlador de audio ilegítimo de Apple llamado "com.apple.audio.driver2.app". Se muestra como un documento y solicita acceso de administrador y luego se instala silenciosamente y se comunica con su servidor de C & C para obtener más información. Una vez que el usuario hace clic en él, aparece un mensaje emergente que parece un mensaje de autenticación normal. Solicita las credenciales de MacOS del usuario. Cuando se proporcionan las credenciales, Coldroot modifica la base de datos de privacidad de TCC.db, lo que permite que el malware tenga acceso para realizar un registro de teclas en todo el sistema.

"Cabe señalar que si no se recibe ningún comando o tarea del servidor de comando y control, el malware simplemente continuará con la señalización... curiosamente, enviará el nombre de la ventana activa del usuario", escribe Wardle.

Además, el malware se las arregla para permanecer en el sistema infectado instalándose como un proceso de inicio. De esta forma, el código malicioso se inicia automáticamente cada vez que se enciende el ordenador infectado.

Capacidades de Coldroot cuando está dentro de un sistema

El malware es capaz de capturar capturas de pantalla, iniciar y finalizar procesos, buscar y cargar nuevos archivos, iniciar una sesión de escritorio remoto y apagar el sistema operativo de forma remota. Actualmente, no está claro si la versión reciente de Coldroot es la misma que se cargó hace dos años o si es una versión modificada de ese malware. El malware todavía contiene los detalles de contacto de su autor original, lo que podría ser un intento deliberado de engañar a otros por parte de alguien que eligió el malware de Github y lo modificó con nuevas funciones.

Wardle afirmó que es posible que el malware no pueda afectar a los sistemas operativos más nuevos, como MacOS High Sierra, porque el TCC.db del sistema está protegido a través de la Protección de Integridad del Sistema (SIP). Pero él cree que la distribución activa del malware muestra que los hackers continuamente intentan apuntar a MacOS y para mantenerse protegidos, los usuarios de MacOS deben cambiar a la última versión del sistema operativo.