Coldroot, el Malware para MAC que toma prácticamente todo
Si tienes un ordenador de Apple, extrema la precaución porque un equipo de investigadores de la firma de seguridad Digita Security ha identificado un malware para Mac que tiene la capacidad de controlar el equipo y de recopilar toda la información introducida por el usuario a través del teclado.
El software malicioso ha sido bautizado con el nombre de Coldroot y se trata de un troyano de acceso remoto. Es una nueva versión de un virus cuyo código fue publicado en 2016 a través de GitHub, pero hasta hace unos días ninguno de los fabricantes de antivirus listados en el escáner de VirusTotal era capaz de identificarlo. Afortunadamente, tras el reporte de Digita Security, ya son 30 las soluciones antivirus que detectan este troyano.
Para instalarse en el equipo, este malware utiliza un icono de documento estándar de macOS para hacerse pasar por un fichero de este tipo. Cuando se ejecuta, el troyano muestra el mensaje habitual que solicita el nombre de usuario y la contraseña del Mac, con la esperanza de engañar a la víctima y robar sus credenciales. Tras esto, el malware se conectará con un servidor C&C de manera clandestina para recibir instrucciones y enviar la información que vaya robando.
Después de establecer comunicación con el servidor C&C, el malware trata de obtener derechos de accesibilidad mediante un script que no funciona en las versiones más nuevas de macOS (desde Sierra en adelante) gracias a un parche de Apple. Sin embargo, en las versiones anteriores del sistema operativo sí puede obtener los derechos de accesibilidad, lo que le permite instalarse de forma completamente persistente y se reiniciará cada vez que se reinicie el sistema.
En caso de que el malware consiga estos derechos, accederá a las partes profundas del sistema operativo para hacerse con el control del equipo, lo que le permite renombrar y eliminar archivos, descargar y cargar documentos o ver el escritorio de forma remota en tiempo real, así como apagar el sistema.
Además, destaca por contar con funciones de keylogger, que le permiten capturar todo el texto que se escribe mediante el teclado. Gracias a esta característica, el virus es capaz de obtener los identificadores de usuario, robar contraseñas o datos financieros.
Mientras no se indique lo contrario desde el servidor de control, la amenaza recopilará toda la información que se encuentre dentro de su alcance. Obviamente, introducida a través del teclado.
Como decíamos, ahora hay 30 antivirus para Mac que detectan este troyano, entre ellos Avast, AVG, Avira, BitDefender, ESET-NOD32, F-Secure, GData, Kaspersky o McAfee, entre otros, así que protege tu equipo con un software de seguridad para evitar ser una víctima.
Un experto en seguridad ha indicado que, en el caso de macOS, solo los usuarios de High Sierra quedarían fuera del grupo de objetivos potenciales. Esto se debe a que el archivo TCC.db está protegido por un software que permite su modificación directa.