El malware de Linux FontOnLake se utiliza en ataques dirigidos

Especialistas de ESET habló sobre el malware FontOnLake, que combina componentes de puerta trasera y rootkit. Se sabe que el malware se utiliza en ataques dirigidos contra organizaciones en el sudeste asiático..

Los expertos escriben que el primer archivo relacionado con esta familia de malware apareció en VirusTotal en mayo del año pasado, y se cargaron otras muestras durante el año. Según el lugar de donde se descargaron estos archivos, los investigadores concluyeron que FontOnLake se utilizó principalmente en el sudeste asiático. En el momento de escribir este artículo, todos los servidores de control del malware ya se habían desactivado. Pero los investigadores señalan que, como una regla, durante ataques dirigidos, los piratas informáticos actúan de esta manera: el trabajo de la infraestructura se detiene tan pronto como se alcanzan sus objetivos.

Se sabe que FontOnLake se distribuye a través de aplicaciones troyanizadas., pero los investigadores no saben cómo los atacantes obligaron a sus víctimas a descargar binarios modificados. Entre las utilidades que el atacante modificó para entregar FontOnLake estaban cat, matar, sftp, y shd.

Según los investigadores, las utilidades troyanizadas probablemente se modificaron en el nivel del código fuente, es decir, los atacantes los compilaron y reemplazaron el original.

Todos los archivos troyanizados son utilidades estándar de Linux y son necesarios para mantener su presencia en el sistema., porque generalmente se inician al iniciar el sistema.los expertos escriben.

también, los binarios modificados proporcionaron la carga de cargas útiles adicionales, recopilar información y realizar otras acciones maliciosas. El caso es que FontOnLake tiene varios módulos que interactúan entre sí y permiten a los piratas informáticos robar datos confidenciales, ocultando eficazmente su presencia en el sistema.

FontOnLake

Los expertos también descubrieron tres puertas traseras personalizadas escritas en C ++ y relacionado con FontOnLake. Proporcionan a los operadores de malware acceso remoto al sistema infectado.. Una característica común para todas las puertas traseras es pasar las credenciales sshd recopiladas y el historial de comandos bash al servidor de comando y control.

La presencia de FontOnLake en un sistema comprometido también está enmascarada por un rootkit, que también es responsable de actualizar y entregar puertas traseras de respaldo. Todas las muestras de rootkit estudiadas por ESET versiones de kernel específicas 2.6.32-696.el6.x86_64 y 3.10.0-229.el7.X86_64.

ESET señala que es muy probable que FontOnLake sea el mismo malware anterior analizado por Centro de respuesta de seguridad de Tencent expertos. También parece que este malware ya ha sido detectado por Avast y Encaje especialistas, en cuyos informes apareció como el HCRootkit y Sutersu rootkit.

Déjame recordarte que también escribimos eso Los piratas informáticos crean Baliza de impacto de cobalto para Linux.

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba