Threat Database Backdoors Troyano RotaJakiro

Troyano RotaJakiro

Los investigadores de ciberseguridad han sacado a la luz una amenaza de malware que era capaz de permanecer oculta y realizar sus nefastas actividades durante años. Nombrado el troyano RotaJakiro, la amenaza está diseñada para infectar sistemas Linux donde luego estableció un mecanismo de puerta trasera. El actor de la amenaza puede ordenar a la herramienta amenazante que recolecte y luego exfiltre datos privados confidenciales de los sistemas comprometidos. RotaJackiro también puede administrar y ejecutar complementos y archivos.

RotaJakiro logró sus impresionantes capacidades de sigilo empleando numerosas técnicas de detección de evasión y anti-análisis. La amenaza supone un gran esfuerzo para ocultar tanto la comunicación de su red como la información de recursos. El tráfico que pasa por los canales de comunicación de la amenaza se comprime primero mediante ZLIB y luego se codifica con el cifrado AES, XOR, ROTATE. El cifrado AES también se utiliza para proteger los recursos de RotaJakiro.

Funcionalidad de RotaJakiro

Después de establecerse en el sistema Linux de destino, la primera acción de RotaJakiro en tiempo de ejecución es determinar si el usuario tiene acceso de root. Dependiendo del resultado, la amenaza se activa y ejecuta diferentes políticas. Usando AES ROTATE, RotaJakiro luego descifra los recursos que necesita para crear su mecanismo de persistencia y proteger sus procesos. Solo después, la amenaza intenta comunicarse con sus servidores de Comando y Control (C2, C&C).

Hasta ahora, el verdadero propósito de los ciberdelincuentes responsables del despliegue de RotaJakiro no se ha descubierto con éxito. El principal obstáculo es la falta de información sobre los complementos ejecutados por la amenaza. Los analistas del Network Security Research Lab de Qihoo 360 (360 Netlab) han catalogado 12 funciones diferentes realizadas por RotaJakiro, tres de ellas relacionadas con la ejecución de complementos específicos.

Similitudes con otro software malicioso

Las características de RotaJakiro muestran que la amenaza comparte coincidencias significativas con la botnet Torii IoT (Internet of Things). Torii fue observado por primera vez por el experto en seguridad Vesselin Bontchev y analizado por el Equipo de Inteligencia de Amenazas de Avast en septiembre de 2018. Aunque son objetivos diferentes, ambas cepas de malware emplean los mismos comandos en los sistemas infectados al tiempo que exhiben métodos de construcción y constantes de código similares.

Tanto RotaJakiro como Torii se basan en algoritmos de cifrado para protegerse de los investigadores de seguridad que investigan su código y sus recursos. Además, los mecanismos de persistencia y la forma en que las amenazas estructuran su tráfico de red muestran vínculos adicionales entre las dos cepas de malware.

Tendencias

Mas Visto

Cargando...