E tem um malware novo na praça que se chama FontOnLake e atinge sistemas Linux em ataques direcionados. Este tipo de malware que não era detectado anteriormente. Portanto, até bem pouco tempo atrás, era totalmente desconhecido.
De acordo com pesquisadores da empresa de segurança cibernética ESET, o malware, chamado FontOnLake, parece ser bem projetado e, embora em desenvolvimento ativo, já inclui opções de acesso remoto, recursos de roubo de credenciais e é capaz de inicializar servidores proxy.
As amostras do FontOnLake apareceram pela primeira vez no VirusTotal em maio de 2020. No entato, os servidores de comando e controle (C2) vinculados a esses arquivos estão desabilitados, o que os pesquisadores dizem que pode ser devido aos uploads.
Os pesquisadores acrescentaram que os sistemas Linux visados pelo malware podem estar localizados em áreas como o Sudeste Asiático.
A ESET acredita que os operadores são “excessivamente cautelosos” em relação a serem pegos e suas atividades expostas, já que quase todas as amostras obtidas usam endereços de servidor C2 diferentes e uma variedade de portas. Além disso, os autores do malware usam C e C ++ e várias bibliotecas de terceiros, como Boost e Protobuf.
Malware FontOnLake atinge sistemas Linux em ataques direcionados
Então, o FontOnLake é um malware modular que aproveita binários personalizados para infectar uma máquina e executar código malicioso. Enquanto a ESET ainda está investigando o FontOnLake, a empresa afirma que entre seus componentes conhecidos estão aplicativos trojanizados que são usados para carregar backdoors, rootkits e coletar informações.
“Patches dos aplicativos são provavelmente aplicados no nível do código-fonte, o que indica que os aplicativos devem ter sido compilados e substituídos os originais”, disse a equipe.
No total, três backdoors também foram conectados ao FontOnLake. Os backdoors são todos escritos em C ++ e criam uma ponte para o mesmo C2 para exfiltração de dados. Além disso, eles podem emitir comandos de “pulsação” para manter essa conexão ativa.
O FontOnLake está sempre associado a um rootkit em modo kernel para manter a persistência em uma máquina Linux infectada. De acordo com a empresa de antivírus Avast, o rootkit é baseado no projeto Suterusu de código aberto.
Outras empresas ligadas à segurança cibernética como a Tencent e Lacework Labs também publicaram pesquisas sobre o que parece ser a mesma cepa de malware. A ESET também lançou um white paper técnico (.PDF) examinando o FontOnLake.
A Tencent alerta para alguns pontos principais:
- O Lacework Labs identificou novas amostras e infraestrutura associada à atividade de rootkit HCRootkit / Sutersu Linux, construindo sua recente identificação inicial de nossos colegas da Avast.
- Os droppers maliciosos incluem e fornecem arquivos adicionais, um módulo de kernel e ELF de área de usuário. Esses arquivos comprometem um host com a funcionalidade de rootkit padrão.
- O agente principal usa um protocolo baseado em protobuf personalizado exclusivo para comunicação C2.
Via ZDNet