研究人员发现窃取敏感用户信息的存在多年的Linux恶意软件能够从受感染的设备获取和传输敏感信息。奇虎360网络安全研究实验室(360Netlab)的研究人员将这款恶意软件命名为RotaJakiro,尽管该恶意软件于2018年首次上传,但至今仍未被VirusTotal的反恶意软件引擎检测到。RotaJakiro旨在尽可能隐蔽地运行,使用ZLIB压缩和AES、XOR、ROTATE加密方法加密其通信通道。除此之外,它还尽最大努力防止恶意软件分析人员对其进行解剖,作为360Netlab的BotMon系统发现样本中的资源信息也使用AES算法进行了加密。研究人员表示:“在功能层面,RotaJakiro会先在运行时判断用户是root还是非root,不同的账户有不同的执行策略,然后使用AES&ROTATE解密相关敏感资源,用于后续的持久化和处理。”作为守护者和单实例,最终与C2建立通信,等待执行C2下达的命令”。攻击者可以使用RotaJakiro窃取系统信息和敏感数据,管理插件和文件,并在受感染的64位Linux设备上执行各种插件。然而,由于在受感染系统上部署的插件缺乏可见性,研究人员尚未发现恶意软件创建者使用其恶意工具的真实意图。RotaJakiro一共支持12个函数,其中3个与具体插件的执行相关。不幸的是,我们不了解这些插件,因此不知道其真正用途。自2018年第一个RotaJakiro样本登陆VirusTotal以来,研究人员发现在2018年5月至2021年1月期间上传了四个不同的样本,所有样本的检出率均为零。本文转自OSCHINA文章标题:研究人员发现已存在多年可窃取用户敏感信息的Linux恶意软件
