Malware FontOnLake Mira Sistemas Linux!

O malware vem com um rootkit para se alojar profundamente em máquinas vulneráveis.

Um grupo de malwares que não era detectado anteriormente está sendo usado em ataques direcionados contra sistemas Linux.

De acordo com pesquisadores da empresa de segurança cibernética ESET, o malware, chamado FontOnLake , parece ser bem projetado e, embora em desenvolvimento ativo, já inclui opções de acesso remoto, recursos de roubo de credenciais e é capaz de inicializar servidores proxy.

As amostras do FontOnLake apareceram pela primeira vez no VirusTotal em maio de 2020, mas os servidores de comando e controle (C2) vinculados a esses arquivos estão desabilitados, o que os pesquisadores dizem que pode ser devido aos uploads.

Os pesquisadores acrescentaram que os sistemas Linux visados ​​pelo malware podem estar localizados em áreas como o sudeste da Ásia.

A ESET acredita que os operadores são “excessivamente cautelosos” em relação a serem pegos e suas atividades expostas, já que quase todas as amostras obtidas usam endereços de servidor C2 diferentes e uma variedade de portas. Além disso, os autores do malware usam C / C ++ e várias bibliotecas de terceiros, como Boost e Protobuf.

FontOnLake é um malware modular que aproveita binários personalizados para infectar uma máquina e executar código malicioso. Enquanto a ESET ainda está investigando o FontOnLake, a empresa afirma que entre seus componentes conhecidos estão aplicativos trojanizados que são usados ​​para carregar backdoors, rootkits e coletar informações.

“Patches dos aplicativos são provavelmente aplicados no nível do código-fonte, o que indica que os aplicativos devem ter sido compilados e substituídos os originais”, disse a equipe.

No total, três backdoors também foram conectados ao FontOnLake. Os backdoors são todos escritos em C ++ e criam uma ponte para o mesmo C2 para exfiltração de dados. Além disso, eles podem emitir comandos de “pulsação” para manter essa conexão ativa

O FontOnLake está sempre associado a um rootkit em modo kernel para manter a persistência em uma máquina Linux infectada. De acordo com o Avast, o rootkit é baseado no projeto Suterusu de código aberto.

Tencent e Lacework Labs também publicaram pesquisas sobre o que parece ser a mesma cepa de malware. A ESET também lançou um white paper técnico (.PDF) examinando o FontOnLake.

Compartilhe esse post:

Adicionar Comentário

O seu endereço de e-mail não será publicado.