WWWhat's new

RotaJakiro, el virus para Linux que ha sido invisible durante años

linux

El sueño de consumo de todo virus informático es permanecer invisible a los antivirus durante años, y eso es lo que ha conseguido RotaJakiro, un malware que comenzó a actuar en 2018 y que solo ahora ha sido detectado.

Por lo visto una puerta trasera de Linux, descubierta recientemente por investigadores, ha evitado la detección de VirusTotal desde 2018.

El malware ha sido descrito por el equipo de Qihoo 360 Netlab como una puerta trasera dirigida a sistemas Linux de 64 bits. Fue detectado por primera vez el 25 de marzo de 2021, y en ese momento no había detecciones de malware en VirusTotal para el archivo, a pesar de que se cargaron cuatro muestras: dos en 2018, una en 2020 y otra en 2021.

Comentan en Netlab que ha conseguido pasar desapercibido porque cambia su uso del cifrado, incluida la compresión ZLIB y las combinaciones de AES, XOR y la rotación de claves durante sus actividades.

Según ZDnet, cuenta con 12 funciones en total, incluida la extracción y el robo de datos, la administración de archivos y complementos, incluida la consulta / descarga / eliminación, y la información del dispositivo de informes. Sobre su funcionamiento indican:

[…] primero determina si el usuario es root o no root en tiempo de ejecución, con diferentes políticas de ejecución para diferentes cuentas, luego descifra los recursos sensibles relevantes usando AES & ROTATE para la subsiguiente persistencia, protección de procesos y uso de instancia única. Al final establece comunicación con C2 y espera la ejecución de los comandos emitidos por C2.

Cuando se ejecuta bajo una cuenta de root, se puede crear un nuevo proceso para reaparecer automáticamente los archivos de configuración, mientras que en un escenario no root, se crean dos procesos separados para monitorear y, si es necesario, restaurarse entre sí.

Ahora VirusTotal ya detecta los archivos de la puerta trasera como maliciosos.

Salir de la versión móvil