
Semana de seguridad informes:
Una familia de malware modular previamente desconocida dirigida a sistemas Linux se ha utilizado en ataques dirigidos para recopilar credenciales y obtener acceso a los sistemas de las víctimas, informó ESET el jueves. La familia de malware conocida como FontOnLake usa un rootkit para ocultar su presencia y usa diferentes servidores de comando y control para cada ejemplo, lo que muestra cuán cuidadosamente sus operadores son cuidadosos para ser discretos.
Además, los desarrolladores de malware modifican constantemente los módulos de FontOnLake y utilizan tres categorías de componentes que se coordinan entre sí, a saber, aplicaciones troyanizadas, puertas traseras y rootkits.
Existe evidencia de que FontOnLake se utilizó en ataques a organizaciones en el sudeste asiático. Las primeras muestras de malware relacionadas con esta familia aparecieron el pasado mes de mayo. El malware fue descrito previamente por Avast y Lacework como HCRootkit / Sutersu Linux Rootkit y Tencent Security Response Center en un informe de febrero.
Las diversas aplicaciones troyanizadas que los investigadores de ESET identificaron durante su investigación se utilizan para cargar módulos personalizados de puerta trasera o rootkit, pero también para recopilar datos confidenciales cuando sea necesario. Estos archivos, que se presentan como utilidades estándar de Linux, también están diseñados para proporcionar persistencia en los sistemas comprometidos. Lo que los investigadores aún no han descubierto es la forma en que las aplicaciones troyanizadas se entregan a las víctimas. El análisis de ESET de FontOnLake reveló el uso de tres puertas traseras diferentes, todas escritas en C ++, todas usando la misma biblioteca Asio de Boost y todas capaces de extraer las credenciales sshd y el historial de comandos bash.
El más simple de los tres está diseñado para iniciar y negociar el acceso a un servidor SSH local, actualizarse y transferir las credenciales recopiladas. El malware parece estar en desarrollo.
La segunda puerta trasera también pudo manipular archivos, actualizarse y cargar y descargar archivos, según el artículo, mientras que la tercera puerta trasera «acepta conexiones remotas, actúa como un proxy y puede descargar y ejecutar scripts de Python además de Exfiltrating Cartas credenciales «. . «