30 abr. 2021

RotaJakiro: Backdoor para Linux de al menos 3 años

Como podemos leer en el blog de Netlab 360 RotaJakiro lleva años comprometiendo la seguridad de sistemas con Linux, en los que crea una puerta trasera, que una vez establecida puede ser empleada tanto para descargar nuevas cargas útiles como para exfiltrar información de dichos sistemas. Y lo peor de todo es que no hablamos de una amenaza nueva. Pese a que la primera muestra (de cuatro) fue subida a VirusTotal (64f6cfe44ba08b0babdd3904233c4857 )en mayo de 2018, de momento no se ha contabilizado, desde entonces hasta ahora no se ha contabilizado ni una sola detección por parte de las soluciones de seguridad.

Y hay otras señales que apuntan a que la antigüedad de RotaJakiro es todavía mayor, pues si la primera muestra se remonta a 2018, los servidores de comando y control empleados por el malware tienen dominios registrados en diciembre de 2015, por lo que podemos inferir que hablamos de un malware que ya suma seis años de edad, y que durante todo este tiempo ha logrado permanecer por debajo del radar, algo comprensible, si tenemos en cuenta que su análisis nos demuestra que ha sido diseñado para operar de la manera más sigilosa posible.

A nivel funcional, RotaJakiro primero determina si el usuario es root o no en tiempo de ejecución, con diferentes políticas de ejecución para diferentes cuentas, luego analiza los recursos sensibles relevantes, al tiempo que adopta las medidas necesarias para garantizar su persistencia y procede a enmascarar los procesos con el fin de pasar desapercibido. Y con todo el trabajo hecho, finalmente establece comunicación con el servidor de comando y control, a la espera de recibir órdenes.

Netlab aún no ha descubierto la verdadera intención de los creadores de este malware para su herramienta maliciosa debido a la falta de visibilidad en lo que respecta a los complementos que implementa en los sistemas infectados. "RotaJakiro admite un total de 12 funciones, tres de las cuales están relacionadas con la ejecución de complementos específicos. Desafortunadamente, no tenemos visibilidad de los complementos y, por lo tanto, no conocemos su verdadero propósito" agregaron los investigadores.

Su perfil bajo, en lo referido a difusión y visibilidad, nos invita a pensar que RotaJakiro es un malware empleado selectivamente, no difundido de manera masiva, y en este contexto encaja bastante bien la teoría de que sea empleado para exfiltrar información. Pero, sea como fuere, sobre todo lo que hace es recordarnos que cualquier sistema operativo es potencialmente inseguro, que no debemos confiarnos y que adoptar medidas de seguridad es, siempre, una buena idea.

Fuente: Muy Seguridad

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!