Conoce Coldroot: Un troyano de Mac que ha permanecido oculto durante años

En el día de hoy os vamos a hablar de Coldroot, un troyano para Mac capaz de controlar remotamente equipos de forma silenciosa, lo que le ha permitido pasar desapercibido durante años. Patrick Wardle, jefe de investigación en Digita Security ha revelado en un artículo detalles acerca de este troyano. Este tipo de malware se instalan y obtienen acceso a niveles muy profundos del sistema operativo con el fin de obtener un completo control remoto del equipo en un momento determinado. Tras una serie de análisis realizados al malware Wardle pudo comprobar que ninguno de los proveedores de antivirus listados en VirusTotal fueron capaces de detectarlo, a pesar de que su código fuese publicado el pasado 2016.

Según Wardle, cuando el malware entra en acción puede grabar y robar contraseñas, listar archivos, renombrarlos, descargarlos y borrarlos además de poder ver el escritorio de manera remota y apagar el equipo. Coldroot se enmascara como un documento, el cual cuando se abre muestra una pantalla solicitando la contraseña del usuario con la esperanza de obtener sus credenciales, tras esto el malware se instalará y contactará con su servidor de control quedándose a la espera de instrucciones de un atacante. Sin embargo, para ganar un acceso total a los niveles más internos de MacOS el malware necesita ganar acceso a las funciones de accesibilidad, algo para lo que necesitaría que la víctima lo añadiese a preferencias del sistema, algo que sin duda nadie haría. “Aunque no se trate de un malware muy sofisticado, es bastante completo” Dijo Wardle.

Figura 1: Coldroot.

Para superar esta barrera Coldroot modifica la base de datos de privacidad permitiendo que el malware interactúe con los componentes del sistema. Una vez hecho esto el troyano se aloja en el terminal y será capaz de permanecer en él y ponerse en funcionamiento cada vez que el sistema se reinicie. Apple ha logrado parchear este malware en MacOS Sierra protegiendo la base de datos con system integrity protection haciendo imposible que el malware gane acceso incluso teniendo la contraseña de la víctima.

Wardle ha dicho que su herramienta gratuita para Mac puede ayudar a protegerse frente a este tipo de ataques y que ya ha notificado a los proveedores de antivirus de este caso para que tomen medidas al respecto.