Нещодавно виявлений бекдор для систем на Linux залишався непоміченим кілька років, дозволяючи зловмисникам збирати та виводити конфіденційну інформацію з  заражених пристроїв.

Бекдор, який дослідники з лабораторії досліджень мережевої безпеки Qihoo 360 (360 Netlab) назвали RotaJakiro, залишався не виявленим антивірусними механізмами VirusTotal, хоча зразок датований 2018 роком, повідомляє BleepingComputer.

RotaJakiro написаний так, щоб залишитися непомітним, шифруючи свої канали зв’язку за допомогою архівації ZLIB та шифрування AES, XOR, ROTATE.

Він також робить все можливе, щоб заблокувати програми аналізу зловмисного програмного забезпечення, щоб вони не знаходили його, оскільки інформація про ресурси, знайдена у зразку, поміченому системою 360 Netlab BotMon, шифрується за допомогою алгоритму AES.

“На функціональному рівні RotaJakiro спочатку визначає, чи користувач має права root на час виконання, з різними політиками виконання для різних облікових записів, потім розшифровує відповідні чутливі ресурси за допомогою AES & ROTATE для подальшого збереження, захисту процесів та використання одного екземпляра, і нарешті встановлює зв’язок із С2 і чекає виконання команд, виданих С2”, – заявили представники 360 Netlab.

Зловмисники можуть використовувати RotaJakiro для викрадення системної інформації та конфіденційних даних, управління плагінами та файлами та запуску різних плагінів на скомпрометованих 64-розрядних пристроях Linux. Однак експерти 360 Netlab ще не виявили справжні наміри творців шкідливого програмного забезпечення щодо їхнього бекдора через відсутність видимості щодо плагінів, які вони розгортають на заражених системах.

“RotaJakiro підтримує загалом 12 функцій, три з яких пов’язані з виконанням певних плагінів, – додали дослідники. – На жаль, ми не бачимо видимості плагінів і тому не знаємо його справжнього призначення.”

Починаючи з 2018 року, коли перший зразок RotaJakiro потрапив на VirusTotal, 360 Netlab знайшов чотири різні зразки, завантажені в період з травня 2018 року по січень 2021 року, і всі вони мали вражаючу кількість нульових виявлень. Всі командно-адміністративні сервери, які історично використовувались шкідливим програмним забезпеченням, мали домени, зареєстровані шість років тому, у грудні 2015 року.

Експерти 360 Netlab також виявили посилання на ботнет Torii IoT, вперше помічений експертом з шкідливих програм Веселіном Бончевим та проаналізований групою аналітиків Avast Threat Intelligence у вересні 2018 року. Два штами шкідливого програмного забезпечення використовують однакові команди після розгортання на скомпрометованих системах, подібні методи побудови та константи, які використовуються обома розробниками.

RotaJakiro і Torii також мають багато функціональних подібностей, включаючи “використання алгоритмів шифрування для приховування конфіденційних ресурсів, реалізацію досить старовинного стилю атак, структурованого мережевого трафіку”.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як таємно спілкуватися у месенджері Telegram на iOS та Android? ІНСТРУКЦІЯ

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.