Backdoor RotaJakiro do Linux passou despercebido por anos. O malware para Linux, recém-descoberto com recursos de backdoor, tem passado despercebido por anos, permitindo que os invasores colham e exfiltrem informações confidenciais de dispositivos comprometidos.
O backdoor, apelidado de RotaJakiro por pesquisadores do Network Security Research Lab (360 Netlab) da Qihoo 360, permanece não detectado pelos mecanismos antimalware do VirusTotal, embora uma amostra tenha sido enviada pela primeira vez em 2018 . O nome RotaJakiro foi dado fato de que a família usa criptografia rotativa e se comporta de forma diferente durante a root/non-root accountsexecução.
O RotaJakiro foi projetado para operar da forma mais furtiva possível, criptografando seus canais de comunicação usando a compactação ZLIB e a criptografia AES, XOR, ROTATE.
O malware presta bastante atenção para ocultar seus rastros, usando vários algoritmos de criptografia, incluindo: o uso do algoritmo AES para criptografar as informações de recursos dentro da amostra; Comunicação C2 usando uma combinação de AES, XOR, ROTATE encryption e ZLIB compression.
RotaJakiro suporta um total de 12 funções, três das quais relacionadas à execução de Plugins específicos. Infelizmente, não se tem visibilidade dos plug-ins e, portanto, não se sabe o seu verdadeiro propósito. De uma perspectiva ampla da porta dos fundos, as funções podem ser agrupadas nas quatro categorias a seguir.
- Relatório de informações do dispositivo
- Roubo de informações confidenciais
- Gerenciamento de arquivo / plug-in (consulta, download, exclusão)
- Execução de Plugin específico
“No nível funcional, RotaJakiro primeiro determina se o usuário é root ou não root em tempo de execução, com políticas de execução diferentes para contas diferentes, então descriptografa os recursos sensíveis relevantes usando AES & ROTATE para persistência subsequente, proteção de processo e uso de instância única, e finalmente estabelece comunicação com C2 e aguarda a execução dos comandos emitidos por C2“, disse 360 Netlab.
Backdoor do Linux usado para exfilar dados roubados
Os invasores podem usar o RotaJakiro para exfiltrar informações do sistema e dados confidenciais, gerenciar plug-ins e arquivos e executar vários plug-ins em dispositivos Linux de 64 bits comprometidos.
No entanto, o 360 Netlab ainda não descobriu a verdadeira intenção dos criadores do malware para sua ferramenta maliciosa, devido à falta de visibilidade quando se trata dos plug-ins que ele implanta em sistemas infectados.
“O RotaJakiro suporta um total de 12 funções, três das quais relacionadas à execução de Plugins específicos”, acrescentam os pesquisadores. “Infelizmente, não temos visibilidade dos plug-ins e, portanto, não sabemos seu verdadeiro propósito.”
Desde 2018, quando a primeira amostra da RotaJakiro pousou no VirusTotal, a 360 Netlab encontrou quatro amostras diferentes carregadas entre maio de 2018 e janeiro de 2021, todas com um total impressionante de zero detecções.
Os servidores de comando e controle usados historicamente pelo malware têm domínios registrados há seis anos, em dezembro de 2015.
| Nome do arquivo | MD5 | Detecção | Visto pela primeira vez em VT |
|---|---|---|---|
| daemon do sistema | 1d45cd2c1283f927940c099b8fab593b | 0/61 | 2018-05-16 04:22:59 |
| daemon do sistema | 11ad1e9b74b144d564825d65d7fb37d6 | 0/58 | 2018-12-25 08:02:05 |
| daemon do sistema | 5c0f375e92f551e8f2321b141c15c48f | 0/56 | 2020-05-08 05:50:06 |
| gvfsd-helper | 64f6cfe44ba08b0babdd3904233c4857 | 0/61 | 2021-01-18 13:13:19 |
Os pesquisadores do 360 Netlab também descobriram links para o botnet Torii IoT detectados pela primeira vez pelo especialista em malware Vesselin Bontchev e analisados pela equipe de inteligência de ameaças da Avast em setembro de 2018.
Os dois tipos de malware usam os mesmos comandos após serem implantados em sistemas comprometidos, métodos de construção semelhantes e constantes usadas por ambos os desenvolvedores.
RotaJakiro e Torii também compartilham várias semelhanças funcionais, incluindo “o uso de algoritmos de criptografia para ocultar recursos confidenciais, a implementação de um estilo bastante antigo de persistência e tráfego de rede estruturado“.
Fonte: Bleeping Computer & Netlab
Veja também:
- Cibersegurança e o caminho para uma vida equilibrada
- CVE-2021-28310 Vulnerabilidade Zero Day Desktop Window Manager
- Sophos lança firewall da série XGS com inspeção de TLS
- Incidentes cibernéticos em destaque no mês de março
- A Privacidade está Morta ? Quem não teve dados violados que atire a primeira pedra.
- Google FLoC é nova tecnologia de rastreamento
- Ferramenta Guardicore Infection Monkey oferece avaliação Zero Trust para ambientes AWS
- Projeto sobre crimes cibernéticos retorna à apreciação do Senado
- Vazamento do BGP afeta milhares de redes e sites globalmente
- O que os maiores vazamento de dados pessoais de 2021 nos diz sobre Privacidade, GDPR e Facebook
- Forçar Armadas Participam do maior exercício de Defesa Cibernética do Mundo
- Seu treinamento de cibersegurança pode estar falho
Deixe sua opinião!