RotaJakiro Trojan

Description de RotaJakiro Trojan

Les chercheurs en cybersécurité ont mis au jour une menace de malware qui était capable de rester cachée et d'exercer ses activités néfastes pendant des années. Nommée le cheval de Troie RotaJakiro, la menace est conçue pour infecter les systèmes Linux où elle a ensuite établi un mécanisme de porte dérobée. L'acteur de la menace peut ordonner à l'outil menaçant de récolter puis d'exfiltrer les données privées sensibles des systèmes compromis. RotaJackiro peut également gérer et exécuter des plugins et des fichiers.

RotaJakiro a atteint ses impressionnantes capacités de furtivité en employant de nombreuses techniques de détection d'évitement et d'anti-analyse. La menace consiste à faire de gros efforts pour cacher à la fois ses communications réseau et ses informations sur les ressources. Le trafic passant par les canaux de communication de la menace est d'abord compressé à l'aide de ZLIB, puis brouillé avec le cryptage AES, XOR, ROTATE. Le cryptage AES est également utilisé pour protéger les ressources de RotaJakiro.

La fonctionnalité de RotaJakiro

Après avoir été établi sur le système Linux ciblé, la première action de RotaJakiro au moment de l'exécution est de déterminer si l'utilisateur dispose d'un accès root. En fonction du résultat, la menace active et exécute différentes politiques. En utilisant AES ROTATE, RotaJakiro décrypte ensuite les ressources dont il a besoin pour créer son mécanisme de persistance et protéger ses processus. Ce n'est qu'ensuite que la menace tente de communiquer avec ses serveurs de commande et de contrôle (C2, C&C).

Jusqu'à présent, le véritable objectif des cybercriminels responsables du déploiement de RotaJakiro n'a pas été découvert avec succès. Le principal obstacle est le manque d'informations sur les plugins exécutés par la menace. Les analystes du laboratoire de recherche sur la sécurité réseau de Qihoo 360 (360 Netlab) ont catalogué 12 fonctions différentes exécutées par RotaJakiro, dont trois liées à l'exécution de plugins spécifiques.

Similitudes avec d'autres logiciels malveillants

Les caractéristiques de RotaJakiro montrent que la menace partage des chevauchements significatifs avec le botnet Torii IoT (Internet of Things). Torii a été observé pour la première fois par l'expert en sécurité Vesselin Bontchev et analysé par l'équipe Threat Intelligence d'Avast en septembre 2018. Bien que différentes cibles, les deux souches de logiciels malveillants utilisent les mêmes commandes sur les systèmes infectés tout en présentant des méthodes de construction et des constantes de code similaires.

RotaJakiro et Torii s'appuient tous deux sur des algorithmes de cryptage pour se protéger des chercheurs en sécurité qui creusent leur code et leurs ressources. De plus, les mécanismes de persistance et la manière dont les menaces structurent leur trafic réseau montrent des liens supplémentaires entre les deux souches de malwares.

Laisser une Réponse

Veuillez ne pas utiliser ce système de commentaires pour des questions de soutien ou de facturation. Pour les demandes d'assistance technique de SpyHunter, veuillez contacter directement notre équipe d'assistance technique en ouvrant un ticket d'assistance via votre SpyHunter. Pour des problèmes de facturation, veuillez consulter notre page «Questions de facturation ou problèmes?". Pour des renseignements généraux (plaintes, juridique, presse, marketing, droit d’auteur), visitez notre page «Questions et commentaires».


Le HTML n'est pas autorisé.