Coldroot, el malware indetectable disponible en GitHub desde hace dos años, ahora activo
Cuando hablamos de códigos maliciosos en los tiempos actuales, nos referimos a todo tipo de malware que está en constante evolución con el fin de evitar los bloqueos de las diferentes soluciones de seguridad, aunque no todos son iguales ni funcionan de la misma manera.
Es por ello que en estas líneas os vamos a hablar de Coldroot, un troyano de acceso remoto que aún es indetectable por la mayoría de los motores antivirus, todo ello a pesar de que se subió y está disponible de manera gratuita en el portal para desarrolladores GitHub desde casi dos años. En principio se comentó que este malware podría haber sido creado como una «broma» para los usuarios habituales de los sistemas Mac de Apple, sin embargo desde sus inicios ha ido evolucionando.
De este modo ha ampliado su «funcionalidad» y ya está disponible para los tres principales sistemas operativos de escritorio: Linux, macOS y Windows, como se ha podido saber. A pesar de ser de código abierto creado en el pasado año 2016, Coldroot permaneció en el anonimato, por lo que nunca estuvo en el ojo del huracán de las principales operaciones de ciberdelincuencia. Lo malo de todo esto es que tras dos años, parece que las cosas están ahora cambiando, ya que el mencionado código malicioso ha entrado en una fase de distribución activa.
Decimos esto debido a que, Patrick Wardle, un experto en seguridad de sistemas Mac trabajando en la firma Digital Security, se acaba de encontrar con una nueva versión de Coldroot totalmente operativa. Más concretamente se refiere a que descubrió esta nueva versión en un controlador de audio falso de Apple, versión del malware algo diferente a la original publicada en GitHub en 2016.
Tras 2 años en Github como código abierto, el malware Coldroot se activa
Sin embargo y a pesar de los cambios que se han llevado a cabo, lo detectado al analizar el controlador falso de audio de Apple coincidía con el modus operandi y los detalles técnicos incluidos en el antiguo código de Coldroot de acceso remoto en GitHub, lo que sugería que ambas muestras estaban conectadas, si no son las mismas.
Al final el propio Wardle concluyó que se ha topado con el mismo malware, pero en una nueva revisión mejorada y actualizada, es decir, con más características que la versión de 2016. De hecho apunta que este nuevo Coldroot puede generar nuevas sesiones de escritorio remoto, tomar capturas de pantalla y ensamblarlas en una secuencia, todo ello en tiempo real, del escritorio de la víctima. Del mismo modo está capacitado para iniciar y matar procesos en el sistema, o buscar, descargar, cargar y ejecutar archivos.
Lo que no está claro es si esta nueva versión ha sido mejorada por el mismo autor o por alguien que tomó el código de GitHub. Sea como sea, el problema aquí es que a pesar de estar basado en el código fuente de un troyano de acceso remoto on-line durante casi dos años, ninguno de los motores de escaneo de antivirus actuales ha sido capaz de detectarlo por el momento.