Un malware Linux récemment découvert avec des capacités de porte dérobée a volé sous le radar pendant des années, permettant aux attaquants de récolter et d’exfiltrer des informations sensibles à partir d’appareils compromis.

La porte dérobée, surnommée RotaJakiro par des chercheurs du Network Security Research Lab de Qihoo 360 (360 Netlab), reste non détecté par les moteurs anti-malware de VirusTotal, bien qu’un échantillon ait été téléchargé pour la première fois en 2018.

RotaJakiro est conçu pour fonctionner aussi discrètement que possible, chiffrant ses canaux de communication à l’aide de la compression ZLIB et du chiffrement AES, XOR, ROTATE.

Il fait également de son mieux pour empêcher les analystes de logiciels malveillants de les disséquer, car les informations sur les ressources trouvées dans l’échantillon repéré par le système BotMon de 360 ​​Netlab sont cryptées à l’aide de l’algorithme AES.

« Au niveau fonctionnel, RotaJakiro détermine d’abord si l’utilisateur est root ou non root au moment de l’exécution, avec différentes politiques d’exécution pour différents comptes, puis décrypte les ressources sensibles pertinentes en utilisant AES & ROTATE pour la persistance ultérieure, la protection des processus et l’utilisation d’une seule instance, et enfin établit la communication avec C2 et attend l’exécution des commandes émises par C2 « , a déclaré 360 Netlab.

Porte dérobée Linux utilisée pour exfiler les données volées

Les attaquants peuvent utiliser RotaJakiro pour exfiltrer les informations système et les données sensibles, gérer les plugins et les fichiers, et exécuter divers plugins sur des périphériques Linux 64 bits compromis.

Cependant, 360 Netlab n’a pas encore découvert la véritable intention des créateurs de logiciels malveillants pour leur outil malveillant en raison du manque de visibilité en ce qui concerne les plugins qu’il déploie sur les systèmes infectés.

« RotaJakiro prend en charge un total de 12 fonctions, dont trois sont liées à l’exécution de plugins spécifiques », ont ajouté les chercheurs. « Malheureusement, nous n’avons aucune visibilité sur les plugins, et par conséquent ne connaissons pas son véritable objectif. »

Depuis 2018, date à laquelle le premier échantillon de RotaJakiro a atterri sur VirusTotal, 360 Netlab a trouvé quatre …

Voir la source de cette publication