Um novo rootkit para Linux chamado ‘Syslogk’, está sendo usado em ataques para ocultar processos maliciosos, usando “pacotes mágicos” especialmente criados para despertar um backdoor inativo no dispositivo.

O malware está atualmente em desenvolvimento pesado, e seus criadores parecem basear seu projeto no Adore-Ng, um antigo rootkit de código aberto.

O Syslogk pode forçar o carregamento de seus módulos no kernel do Linux, ocultar diretórios, tráfego de rede e, eventualmente, carregar um backdoor chamado ‘Rekoobe’.

Os rootkits do Linux são malwares instalados como módulos do kernel no sistema operacional. Uma vez instalados, eles interceptam comandos legítimos do Linux para filtrar informações que não desejam que sejam exibidas, como a presença de arquivos, pastas ou processos.

Da mesma forma, quando carregado pela primeira vez como um módulo do kernel, o Syslogk removerá sua entrada da lista de módulos instalados para evitar a inspeção manual.