Исследователи обнаружили вредоносное ПО для Linux, которое оставалось незамеченным

Исследователи обнаружили вредоносное ПО для Linux, которое оставалось незамеченным

Ранее не зарегистрированная вредоносная программа для Linux с возможностями бэкдора сумела оставаться незамеченной около трех лет, позволяя тем, кто за ней стоит, собирать и выкачивать конфиденциальную информацию из зараженных систем.

Бэкдор, получивший название «RotaJakiro» исследователями из Qihoo 360 NETLAB, нацелен на 64-битные Linux-машины и назван так потому, что «использует шифрование rotate и ведет себя по-разному для учетных записей root/non-root при исполнении».

Результаты получены в ходе анализа образца вредоносного ПО, обнаруженного 25 марта. Однако есть вероятность, что более ранние версии были загружены в VirusTotal еще в мае 2018 года. На сегодняшний день в базе данных было найдено в общей сложности четыре образца, и все из них остаются незамеченными большинством антивирусных систем. На момент написания статьи только семь поставщиков безопасности помечают последнюю версию вредоносного ПО как опасную.

RotaJakiro

RotaJakiro разработан с расчетом на скрытность, он полагается на сочетание криптографических алгоритмов для шифрования связи с удалённым сервером, в дополнение к поддержке 12 функций, которые занимаются сбором метаданных устройства, кражей конфиденциальной информации, выполнением операций, связанных с файлами, а также загрузкой и выполнением плагинов, полученных с сервера.

Но поскольку нет никаких доказательств, проливающих свет на природу плагинов, истинный замысел кампании по распространению вредоносного ПО остается неясным. Интересно, что некоторые из доменов удалённого сервера были зарегистрированы еще в декабре 2015 года. Исследователи также обнаружили совпадения между RotaJakiro и ботнетом под названием «Torii». Оба вредоносных приложения работают по одному принципу.



0 Комментариев
You've successfully subscribed to Apple SPb Event
Great! Next, complete checkout for full access to Apple SPb Event
Welcome back! You've successfully signed in
Success! Your account is fully activated, you now have access to all content.