Trojan RotaJakiro

Descrição do Trojan RotaJakiro

Os pesquisadores de segurança cibernética trouxeram à luz uma ameaça de malware que era capaz de permanecer oculta e realizar suas atividades nefastas por anos. Chamado de Trojan RotaJakiro, a ameaça foi projetada para infectar os sistemas Linux, onde estabeleceu um mecanismo de backdoor. O agente da ameaça pode comandar a ferramenta ameaçadora para coletar e, em seguida, exfiltrar dados privados confidenciais dos sistemas comprometidos. O RotaJackiro também pode gerenciar e executar plugins e arquivos.

O RotaJakiro alcançou sua impressionante capacidade de furtividade empregando várias técnicas de detecção de evasão e anti-análise. A ameaça faz grandes esforços para ocultar a comunicação da rede e as informações de recursos. O tráfego que passa pelos canais de comunicação da ameaça é primeiro compactado usando ZLIB e, em seguida, embaralhado com a criptografia AES, XOR, and ROTATE. A criptografia AES também é usada para proteger os recursos do RotaJakiro.

A Funcionalidade do RotaJakiro

Depois de ser estabelecido no sistema Linux visado, a primeira ação do RotaJakiro em tempo de execução é determinar se o usuário tem acesso root. Dependendo do resultado, a ameaça ativa e executa políticas diferentes. Usando o AES ROTATE, o RotaJakiro então descriptografa os recursos de que necessita para criar o seu mecanismo de persistência e proteger os seus processos. Só depois disso a ameaça tenta se comunicar com os seus servidores de Comando e Controle (C2, C&C).

Até agora, o verdadeiro propósito dos cibercriminosos responsáveis por implantar o RotaJakiro não foi descoberto com sucesso. O principal obstáculo é a falta de percepção dos plug-ins executados pela ameaça. Analistas do Network Security Research Lab do Qihoo 360 (360 Netlab) catalogaram 12 funções diferentes desempenhadas pelo RotaJakiro, sendo três delas relacionadas à execução de Plugins específicos.

Semelhanças com Outro Malware

As características do RotaJakiro mostram que a ameaça compartilha sobreposições significativas com o Torii IoT (Internet of Things) botnet. O Torii foi observado pela primeira vez em setembro de 2018. Embora sejam alvos diferentes, ambos os tipos de malware empregam os mesmos comandos nos sistemas infectados, enquanto exibem métodos de construção semelhantes e constantes de código.

O RotaJakiro e o Torii contam com algoritmos de criptografia para se proteger de pesquisadores de segurança que investigam seu código e recursos. Além disso, os mecanismos de persistência e a forma como as ameaças estruturam seu tráfego de rede mostram links adicionais entre os dois tipos de malware.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"n"


HTML não é permitido.