Un malware Linux previamente indocumentado con capacidades de puerta trasera ha logrado permanecer bajo el radar durante unos tres años, permitiendo al actor de amenazas detrás de la operación cosechar y exfiltrar información sensible de sistemas infectados.
Apodado "RotaJakiro" por investigadores de Qihoo 360 NETLAB, la puerta trasera se dirige a las máquinas Linux X64, y lleva el nombre del hecho de que "la familia utiliza el cifrado de rotación y se comporta de manera diferente para las cuentas root y no root al ejecutar"."
Los hallazgos provienen de un análisis de una muestra de malware que detectó el 25 de marzo, aunque las primeras versiones parecen haber sido subidas a VirusTotal ya en mayo de 2018. Hasta la fecha se han encontrado un total de cuatro muestras en la base de datos, todas las cuales siguen sin ser detectadas por la mayoría de los motores anti-malware. A partir de la escritura, sólo siete proveedores de seguridad marcan la última versión del malware como malicioso.
"A nivel funcional, RotaJakiro determina primero si el usuario es root o no root en tiempo de ejecución, con diferentes directivas de ejecución para diferentes cuentas, luego descifra los recursos confidenciales relevantes usando AES& ROTATE para su posterior persistencia, protección de procesos y uso de instancia única, y finalmente establece la comunicación con C2 y espera la ejecución de los comandos emitidos por C2", explicaron los investigadores.
RotaJakiro está diseñado pensando en el sigilo, basándose en una combinación de algoritmos criptográficos para cifrar sus comunicaciones con un servidor de comando y control (C2), además de tener soporte para 12 funciones que se encargan de recopilar metadatos del dispositivo, robar información confidencial, llevar a cabo operaciones relacionadas con archivos y descargar y ejecutar complementos extraídos del servidor C2.
Pero sin evidencia que arroje luz sobre la naturaleza de los plugins, la verdadera intención detrás de la campaña de malware sigue sin estar clara. Curiosamente, algunos de los dominios C2 fueron registrados datando hasta diciembre de 2015, con los investigadores también observando superposiciones entre RotaJakiro y una botnet llamada Torii.
"Desde la perspectiva de la ingeniería inversa, RotaJakiro y Torii comparten estilos similares: el uso de algoritmos de cifrado para ocultar recursos sensibles, la implementación de un estilo de persistencia bastante antiguo, tráfico de red estructurado, etc"., dijeron los investigadores. No sabemos exactamente la respuesta, pero parece que RotaJakiro y Torii tienen algunas conexiones".
