Un malware de Linux previamente no documentado con capacidades de puerta trasera ha logrado permanecer bajo el radar durante aproximadamente tres años, lo que permite que el actor de amenazas detrás de la operación recopile y extraiga información confidencial de los sistemas infectados.

Apodado «RotaJakiro» por los investigadores de Qihoo 360 NETLAB, la puerta trasera se dirige a las máquinas Linux X64, y se llama así por el hecho de que «la familia usa el cifrado de rotación y se comporta de manera diferente para las cuentas raíz / no raíz cuando se ejecuta».

Los hallazgos provienen de un análisis de una muestra de malware que detectó el 25 de marzo, aunque parece que las primeras versiones se cargaron en VirusTotal en mayo de 2018. Hasta la fecha, se han encontrado un total de cuatro muestras en la base de datos, todas las cuales permanecen sin ser detectado por la mayoría de los motores anti-malware. Al momento de escribir, solo siete proveedores de seguridad marcan la última versión del malware como malicioso.

«A nivel funcional, RotaJakiro primero determina si el usuario es root o no root en tiempo de ejecución, con diferentes políticas de ejecución para diferentes cuentas, luego descifra los recursos confidenciales relevantes usando AES & ROTATE para la subsiguiente persistencia, protección de procesos y uso de instancia única. , y finalmente establece comunicación con C2 y espera la ejecución de comandos emitidos por C2”, explicaron los investigadores.

RotaJakiro está diseñado pensando en el sigilo, basándose en una combinación de algoritmos criptográficos para cifrar sus comunicaciones con un servidor de comando y control (C2), además de tener soporte para 12 funciones que se encargan de recopilar metadatos del dispositivo, robando información confidencial. , realizar operaciones relacionadas con archivos y descargar y ejecutar complementos extraídos del servidor C2.

Pero sin evidencia que arroje luz sobre la naturaleza de los complementos, la verdadera intención detrás de la campaña de malware sigue sin estar clara. Curiosamente, algunos de los dominios C2 se registraron desde diciembre de 2015, y los investigadores también observaron superposiciones entre RotaJakiro y una botnet llamada Torii.

«Desde la perspectiva de la ingeniería inversa, RotaJakiro y Torii comparten estilos similares: el uso de algoritmos de encriptación para ocultar recursos confidenciales, la implementación de un estilo de persistencia bastante antiguo, tráfico de red estructurado, etc.», dijeron los investigadores. «No sabemos exactamente la respuesta, pero parece que RotaJakiro y Torii tienen algunas conexiones».