De nuevo, los usuarios de dispositivos con el sistema operativo de los de Cupertino en el punto de mira de los ciberdelincuentes. Los expertos lo han bautizado como Coldroot. Se trata de un software malicioso que posee como función principal la de recopilar toda la información que se introduzca a través del teclado. Se trata de un código que vio la luz por primera vez hace más de dos años.

Se trata de un caso bastante preocupante, o al menos por el momento. El motivo no es otro que la falta de detección que ofrecen las herramientas de seguridad. Ni siquiera las vinculadas a VirusTotal han sido capaces de realizar la detección de forma correcta.

Los expertos en seguridad indican que se trata de una amenaza cuyo código ya fue compartido en marzo de 2016. Desde entonces, su presencia en la red no ha sido destacable, al menos hasta este momento. Es ahora cuando más se está notando la distribución de esta amenaza entre los usuarios del sistema operativo de escritorio de la empresa de la manzana mordida. Además, el código aún continúa disponible en GitHub, lo que puede fomentar un repunte de su uso si se observa que este proceso obtiene resultados positivos.

Sin lugar a dudas, lo que más preocupa a los expertos en seguridad es que, por el momento, la amenaza no se detecte por las herramientas de seguridad.

Puestos a ofrecer fechas, fue el pasado año cuando en la Dark Web comenzó su comercialización, pero sin demasiado éxito.

Sistemas operativos afectados por Coldroot

En este artículo nos centramos en macOS, pero es cierto que no es el único. Expertos en seguridad han determinado que también está disponible el código para equipos Windows. Esto quiere decir que, si no se está haciendo ya, es probable que pronto se comience a difundir el troyano de acceso remoto para los equipos que ejecuten el de Redmond. En este capítulo, ni siquiera los equipos con distribuciones Linux/Unix se salvan.

Teniendo en cuenta los sistemas operativos que la amenaza abarca, pocos entienden el por qué no se ha utilizado de forma masiva hasta este momento, sobre todo, después de comprobar que pasa desapercibido entre las herramientas de seguridad.

¿Qué sucede cuando la amenaza llega a los sistemas?

En el caso de macOS, una vez se realiza la descarga del archivo com.apple.audio.driver2.app, el usuario realiza la ejecución de lo que en principio parece un software de audio. Pero nada más lejos de la realidad, es la amenaza. Lo primero que hará es solicitar permisos de administrador al usuario durante el proceso de instalación. En la mayoría de los casos (por no decir en casi todos) el usuario hará caso omiso de este detalle, procediendo con la instalación del software.

Posteriormente, establecerá la comunicación con un servidor remoto. Después de estos, comienza la actividad de recopilación de información. En primer lugar, las credenciales de acceso a la cuenta de macOS a través de un pop-up falso. Cuando se le ofrecen estos permisos, el RAT se pone manos a la obra. Su misión: modificar TCC.db para realizar una recopilación completa de la información introducida en el sistema.

Mientras no se indique lo contrario desde el servidor de control, la amenaza recopilará toda la información que se encuentre dentro de su alcance. Obviamente, introducida a través del teclado.

Experto en seguridad han indicado que, en el caso de macOS, solo los usuarios de High Sierra quedarían fuera del grupo de objetivos potenciales. Esto se debe a que el archivo TCC.db está protegido por un software que permite su modificación directa.