Um novo malware modular para Linux foi detectado recentemente pela ESET, apelidado de FontOnLake. E esse malware tem muitos recursos, um deles são “módulos bem projetados”.
Este recurso está muito bem desenhado e é continuamente atualizado com uma ampla gama de competências, o que geralmente indica um estágio de desenvolvimento ativo.
No entanto, o código malicioso foi utilizado pelos atores da ameaça para negociar todos os dados dos sistemas infectados e atuar como servidor proxy.
À espreita sob utilitários legítimos
FontOnLake é bastante perigoso por natureza, pois o malware possui diferentes módulos que se comunicam entre si e simplesmente permitem a comunicação com operadores de malware, após fazer isso rouba dados confidenciais e se mantém oculto no sistema.
O FontOnLake provavelmente é praticado em ataques direcionados por operadores que são adequadamente cuidadosos ao utilizar o exclusivo comando e controle (C2) servidores para amostras e diferentes portas não padronizadas.
Componentes do FontOnLake
Os componentes do FontOnLake foram divididos em três grupos a seguir que geralmente se comunicam entre si, e aqui os mencionamos abaixo: –
- Aplicativos trojanizados
- Portas dos fundos
- Rootkits
Aplicativos trojanizados e rootkits
Nisso malware, os agentes da ameaça usaram vários aplicativos trojanizados para carregar backdoors personalizados, bem como módulos de rootkit. Todos os aplicativos presentes neste malware servem como método de constância
Uma vez que eles são usados principalmente em start-ups, e não apenas isso, até mesmo todos os arquivos trojanizados são utilitários padrão do Linux.
Existem duas versões diferentes do rootkit e elas são usadas apenas uma de cada vez. No entanto, existem algumas funções semelhantes de ambos os rootkits que estavam sendo descobertos, e aqui as mencionamos abaixo: –
- Ocultação de processo
- Ocultação de arquivo
- Escondendo-se
- Ocultando conexões de rede
- Expondo as credenciais coletadas ao seu backdoor
- Executando encaminhamento de porta
- Recepção de pacotes mágicos
Portas dos fundos
Neste malware, existem três backdoors diferentes escritos em C++, e todos os backdoors exfiltram os dados que foram coletados. Todas essas backdoors diferentes não são aplicadas juntas em um sistema negociado.
Além disso, todos os backdoors usam comandos de pulsação personalizados que provavelmente são enviados e recebidos regularmente para que a conexão permaneça ativa.
Os operadores deste malware são bem treinados e sabem a forma exata de implementar o ataque. Embora a maioria dos recursos do malware sejam projetados especificamente para ocultar a presença, retransmitir informações e implementar acesso backdoor.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética.