Coldroot es un RAT
que inicialmente estaba diseñado para infectar a sistemas MacOS, pero se está
empezando a distribuir en otros sistemas operativos de escritorio.
Este troyano sigue
pasando inadvertido para la gran mayoría de antivirus, a pesar de que el código
fuente se encuentra disponible en un repositorio de Github. El código se liberó
a mediados de 2016, pero al no tener una gran popularidad no suscitó mucho
interés. Sin embargo, recientemente ha pasado a distribuirse de manera activa.
El investigador
Patrick Wild ha descubierto una variante de este RAT recientemente. Según
apunta Wild en su análisis, el código que se encuentra online es distinto al
que se puede encontrar en dicha muestra, aunque el comportamiento de la muestra
coincide con el antiguo troyano que podemos encontrar en Github. Por tanto
concluye que este troyano es una versión mejorada y con nuevas funcionalidades
de la versión de 2016.
Entre otras
características, esta nueva versión puede habilitar sesiones de escritorio
remoto, tomar capturas de pantalla para convertirlas en un 'streaming' de la
actividad del usuario y ejecutar y parar procesos en el sistema. Además, es
posible enviar y obtener ficheros de la máquina y ejecutarlos.
Toda la información
interceptada del equipo de la víctima es enviado a un panel web. En el troyano,
se encuentran los datos de contacto del autor original 'Coldzer0' pero no
parecen tener más intención que distraer a los investigadores.
Tras haber obtenido
una mayor atención en los últimos días, posiblemente pronto veamos las
detecciones de este malware aumentar por los distintos sistemas antivirus.
Más información:
Fuente: Hispasec