Coldroot pasa desparecibido para los motores antivirus durante dos años

Este troyano sigue pasando inadvertido para la gran mayoría de antivirus, a pesar de que el código fuente se encuentra disponible en un repositorio de Github. El código se liberó a mediados de 2016, pero al no tener una gran popularidad no suscitó mucho interés. Sin embargo, recientemente ha pasado a distribuirse de manera activa. 

El investigador Patrick Wild ha descubierto una variante de este RAT recientemente. Según apunta Wild en su análisis, el código que se encuentra online es distinto al que se puede encontrar en dicha muestra, aunque el comportamiento de la muestra coincide con el antiguo troyano que podemos encontrar en Github. Por tanto concluye que este troyano es una versión mejorada y con nuevas funcionalidades de la versión de 2016. 

Entre otras características, esta nueva versión puede habilitar sesiones de escritorio remoto, tomar capturas de pantalla para convertirlas en un ‘streaming’ de la actividad del usuario y ejecutar y parar procesos en el sistema. Además, es posible enviar y obtener ficheros de la máquina y ejecutarlos. 

Toda la información interceptada del equipo de la víctima es enviado a un panel web. En el troyano, se encuentran los datos de contacto del autor original ‘Coldzer0’ pero no parecen tener más intención que distraer a los investigadores.

Tras haber obtenido una mayor atención en los últimos días, posiblemente pronto veamos las detecciones de este malware aumentar por los distintos sistemas antivirus.