Conoce Coldroot: Un troyano de Mac que ha permanecido oculto durante años
Según Wardle, cuando el malware entra en acción puede grabar y robar contraseñas, listar archivos, renombrarlos, descargarlos y borrarlos además de poder ver el escritorio de manera remota y apagar el equipo. Coldroot se enmascara como un documento, el cual cuando se abre muestra una pantalla solicitando la contraseña del usuario con la esperanza de obtener sus credenciales, tras esto el malware se instalará y contactará con su servidor de control quedándose a la espera de instrucciones de un atacante. Sin embargo, para ganar un acceso total a los niveles más internos de MacOS el malware necesita ganar acceso a las funciones de accesibilidad, algo para lo que necesitaría que la víctima lo añadiese a preferencias del sistema, algo que sin duda nadie haría. “Aunque no se trate de un malware muy sofisticado, es bastante completo” Dijo Wardle.
Figura 1: Coldroot. |
Para superar esta barrera Coldroot modifica la base de datos de privacidad permitiendo que el malware interactúe con los componentes del sistema. Una vez hecho esto el troyano se aloja en el terminal y será capaz de permanecer en él y ponerse en funcionamiento cada vez que el sistema se reinicie. Apple ha logrado parchear este malware en MacOS Sierra protegiendo la base de datos con system integrity protection haciendo imposible que el malware gane acceso incluso teniendo la contraseña de la víctima.
Wardle ha dicho que su herramienta gratuita para Mac puede ayudar a protegerse frente a este tipo de ataques y que ya ha notificado a los proveedores de antivirus de este caso para que tomen medidas al respecto.
Powered by WPeMatico