Nuevo Coldroot Malware que realiza un keylogging en sistemas de Mac

Share this…

Esta vez el nuevo malware se dirige a macOS y viene con capacidades de keylogging. Los investigadores de seguridad cibernética han descubierto un nuevo malware llamado Coldroot que no ha sido detectado por los programas de antivirus ya que solo 18 de las 20 herramientas pudieron detectarlo. Este malware Mac es un troyano de acceso aleatorio, RAT por sus siglas en ingles, que se compartió en línea en Github en 2016.

Coldroot ahora es capaz de afectar a todos los sistemas operativos y puede obtener de forma silenciosa control remoto en una computadora vulnerable. Los detalles de Coldroot fueron revelados públicamente por un investigador de seguridad de datos y jefe de la investigación, Patrick Wardle.

coldroot mac

Wardle identificó que era un malware de “característica completa, actualmente no detectada” y que estaba siendo vendido por su sospechoso autor Coldzer0 en la Dark Web desde el 1 de enero de 2017. También, Coldzer0 publicó un video que muestra que Coldroot RAT multiplataforma se puede utilizar para apuntar a MacOS, Linux y sistemas basados ​​en Windows. Coldzer0 también ofrecía a los clientes información sobre los métodos de personalización de malware.

El malware se identificó en un controlador de audio ilegítimo de Apple llamado “com.apple.audio.driver2.app”. Este se muestra como un documento y solicita acceso de administrador, luego se instala silenciosamente y se comunica con su servidor de C & C para obtener instrucciones. Una vez que el usuario hace clic en él, aparece un mensaje emergente que parece un mensaje de autenticación normal. Solicita las credenciales de MacOS del usuario. Cuando se proporcionan, Coldroot modifica la base de datos de privacidad de TCC.db, lo que permite que el malware tenga acceso para realizar un keylogging en el sistema.

El malware se las arregla para permanecer en el sistema infectado instalándose como un demonio de lanzamiento. Asimismo, el código se inicia automáticamente cada vez que se enciende la computadora infectada.

El malware es capaz de realizar capturas de pantalla, iniciar y finalizar procesos, buscar y cargar  archivos, iniciar una sesión de escritorio remoto y apagar el sistema operativo de forma remota. No está claro si la versión reciente de Coldroot es la misma que se cargó hace dos años o si es una versión modificada de ese malware.

El experto en seguridad cibernética afirmó que es posible que el malware no pueda afectar a los sistemas operativos más nuevos, como MacOS High Sierra, porque el TCC.db del sistema está protegido a través de la Protección de Integridad del Sistema (SIP). Ahora lo mejor para mantenerse protegidos, es cambiar a la última versión del sistema operativo.