Ce mystérieux code malveillant s’est tapi dans l’ombre pendant au moins trois ans. Beaucoup d’aspects restent encore à découvrir.
Les chercheurs en sécurité de Qihoo 360 ont découvert un malware qui espionne des systèmes Linux 64 bits depuis au moins trois ans. Baptisé « RokaJakiro », il est particulièrement furtif. Pour communiquer avec ses serveurs de commande et contrôle, il utilise le port 443, réservé normalement aux flux HTTPS. Le nom du fichier d’installation est particulièrement banal (systemd-daemon, gvfsd-helper). Et il utilise une série d’algorithmes pour rester sous le radar, comme le chiffrement AES, les codages XOR et de rotation et la compression Zlib.
Le malware adapte son comportement en fonction du type de compte compromis (root ou non). Il est capable d’analyser le terminal infecté, d’exfiltrer des données sensibles et d’exécuter des plugins. Ces derniers n’ont toutefois pas pu être décortiqués par les chercheurs. Par ailleurs, on ne sait pas encore quel est le mode de diffusion de ce code malveillant. Enfin, les chercheurs ont remarqué que le code avait des similitudes avec Torii, un botnet d’objets connectés assez sophistiqué détecté en 2018 par Avast. Beaucoup de questions restent donc encore ouvertes sur ce curieux malware.
source : 01net