Gli esperti di Netlab 360 hanno scoperto un nuovo malware per Linux che non viene rilevato da VirusTotal. Si chiama “RotaJakiro” e utilizza la crittografia a rotazione per nascondersi.
La backdoor per nascondersi utilizza più algoritmi di crittografia, tra cui l’AES per crittografare le informazioni sulle risorse all’interno del sample, una combinazione AES, XOR, ROTATE e una compressione ZLIB nelle comunicazioni con il C2.
RotaJakiro supporta un totale di 12 funzioni, tre delle quali sono legate all’esecuzione di plugin specifici. I ricercatori non sono tuttavia riusciti a visualizzare i plugin, per cui non ne conoscono il loro scopo, ma hanno raggruppato le funzioni della backdoor nelle seguenti quattro categorie:
- Segnalazione delle informazioni sul dispositivo;
- Rubare informazioni sensibili;
- Gestione di file / plug-in (query, download, eliminazione);
- Esecuzione di plugin specifici.
RotaJakiro determina in primo luogo se l’utente è root o non root in fase di esecuzione, con differenti strategie di esecuzione per diversi account, quindi decifra le risorse sensibili pertinenti utilizzando AES& ROTATE per il successivo uso di persistence, process guardinge e single instance, e infine stabilisce la comunicazione con C2 e attende la esecuzione di comandi emessi da C2.
